0x01 简介
macOS是基于Unix内核的专门运行在苹果电脑上的图形化操作系统,由美国自主研发,由于是商用性,所以相对来讲安全性较高;
0x02 开机取证
1.macOS系统在解锁、退出睡眠、登录系统、越权操作的时候都需要密码;
2.首先碰到macOS系统电脑不要慌,先看一下机器状态,是否开机、电源状态,再根据电脑底部的设备编号和出厂日期记录下来,查询机器相关信息,看是否有一些默认的参数和设置;
3.确认是否启动 FileVault 磁盘加密 ,在系统偏好设置-安全性与隐私-FileVault 查看是否进行加密;
如果FileVault 开启可能磁盘和u盘都已被加密;
4.判断macOS电脑是否联网,如联网情况下,请及时断开网络,避免用户远程擦除主机数据;
5.判断看到的win是否是真实的,是否是虚拟机全屏桌面;
6.苹果系统基本操作
1.在触摸板三指向上滑动,可以看到每一个运行的状态;
2.Command+Q:结束当前运行进程;
3.Command+R:进入恢复模式界面;
4.Command+tab:切换当前应用程序;
5.Command+ Option+Esc:强制终止某个程序;
6.mac系统下自带的录屏工具QuickTime Player,文件--新建屏幕录屏;
7.Command-Shift-4:截取所选区域屏幕保存到文件;
8.终端使用命令:openssl md5 文件名,计算文件md5
7.对于易丢失数据数据常用获取镜像工具主要 Smart MFT 等
8.注:取证的时候,不要使用NTFS文件系统的移动磁盘,因为macOS需要安装第三方工具才能在NTFS文件系统中写入数据,推荐使用 exFAT 文件系统
9.macOS 文件类型:
1.〔*.exe‖可执行文件;直接打开〕
2.〔*.rar‖一种压缩包;用WinRAR打开〕
3.〔*.zip‖一种压缩包;用WinRAR打开,或者WinXP也可以直接打开〕
4.〔*.iso‖虚拟光驱;用WinRAR打开,也可用其他虚拟光驱软件〕
5.〔*.doc‖word文档;用Office Word打开〕
6.〔*.ppt‖幻灯片;用Office PowerPiont打开〕
7.〔*.xls‖电子表格;用Office Excel打开〕
8.〔*.wps‖WPS文档;用金山WPS打开〕
9.〔*.txt‖文本文档;默认用记事本打开〕
10.〔*.lrc‖动态歌词;可以用记事本打开〕
11.〔*.rm,*.rmvb‖高清视频;可以用RealOnePlayer打开〕
12.〔*.mp3,*.wma,*.wav‖一些音乐〕
13.〔*.jpg,*.bmp,*.gif‖一些图片,其中gif可以是动态的〕
14.〔*.wfs‖Flash文件;可以用IE打开,也可用FlashPlayer打开〕
15.〔*.torrent‖BT文件;可以用BitComet打开〕
16.应用程序:app
17.驱动:kext(plist)
18.字体:ttf
19.屏保:slidesaver
20.文档:pdf,pages
21.压缩归档:zip
22. 镜像:iso,dmg,toast
10.macOS常见文件格式:
1.Pliat(PropertyList):存储各种文件,程序设置及数据内容等;
2.SQLite数据库:后缀不同,但可以通过文件签名来判断,很大一部分数据都是存放在数据库当中;
3.自定义文件格式---通过阅读官方文档或通过逆向工程来找出文件格式:
1.~/Library:存放大部分应用配置;
2.~/Library/Preferences:存放大部分应用配置;
3.~/Library/应用名:对应文件的数据文件大部分都存放在名称命名的文件夹下;
4.~/Library/Application Support:存储部分应用的数据;
5.~/Library/Documents:文档默认存储位置,一小部分程序会将其作为存储路径
11.macOS 系统信息:
1.macOS基本信息都被分别存放在\System\Library\CoreServices\SystemVersion.plist、\Library\Preferences\SystemConfiguration\preferences.plist和\Library\Preferences\com.apple.loginwindow.plist,这些文件都是plist格式;
2.系统用户数据存放在\private\var\db\dslocal\nodes\Default\users目录下;
3.网络配置数据存放在\Library\Preferences\SystemConfiguration\preferences.plist;
4. 时区信息存放在\Library\Preferences\.GlobalPreferences.plist;
5.系统安装记录\10.10\Library\Receipts\InstallHistory.plist;
6.开关机数据存放在\private\var\log目录下的system.log、system.log.0.gz文件中,这些文件是系统日志文件;通过解析这些文件,可以获取到开关机记录的用户名和时间;
7.蓝牙数据存放在\Library\Preferences\com.apple.Bluetooth.plist;
8.无线网络连接数据存放在\Library\Preferences\SystemConfiguration文件夹下的com.apple.airport.preferences.plist;
9. 打印数据存放在\private\var\spool\cups目录下,该目录下以c开头的文件“cXXXXX”存放着打印信息,一个文件对应一个打印任务,每个c开头的文件都有对应的d开头文件“dXXXXX-XXX”,d开头的文件是打印预览,但是打印完成时d开头的文件会被删除;
10.终端数据存储在\Users\[UserName]目录下的 .bash_history文件中,该文件使用UTF-8编码存储;
11.内置地图数据存放在Users\UserName\Library\Containers\com.apple.Maps\Data\Library\Maps目录下,GeoHistory.mapsdata文件存放搜索记录,GeoBookmarks.plist文件存放收藏记录;
12.内置备忘录数据存放在\Users\[UserName]\Library\Containers\com.appLe.Notes\Data\Library\Notes目录下的NotesV1.storedata(Mac10.8)、NotesV2.storedata(Mac10.9)或NotesV3.storedata(Mac10.9),这三种解析文件是sqlite数据库文件,且数据库结构相似。而Mac10.11及Mac10.12的备忘录数据存放在\Users\[UserName]\Library\Group Containers\Group.com.apple.notes\NoteStore.sqlite;
13.Mac10.10之前,备忘录信息及内容存储在表ZNOTE和表ZNOTEBODY中,备忘录的内容是明文存储的;Mac10.11之后,备忘录信息及内容存储在表ZICCLOUDSYNGOBJECT和表ZICNOTEDATA中,备忘录的内容进行了加密。Mac10.10之前,附件存储在\Users\[UserName]\Library\Containers\com.apple.Notes\Data\Library\CoreData\Attachments目录下,附件信息存储在NotesV3.storedata数据库文件中的表ZATTACHMENT;Mac10.11之后,附件存储在\Users\[UserName]\Library\Group Containers\Group.com.appLe.notes\Media目录下,附件信息存储在NoteStore.sqlite数据库文件中的表ZICCLOUDSYNGOBJECT;
14.iCal日程数据存放在\Users\UserName\Library\Calendars\目录下的Calendar Cache文件;
15.通话数据存放在\user\[username]\Library\Applicationupport\CallHistoryDB目录下的CallHistory.storedata文件,而短信数据存放\user\[username]\Library\Messages目录下的chat.db文件,这两个文件是sqlite数据库文件;
0x03 动态取证
1.数据固定:
1.使用macOS自带的磁盘工具,创建磁盘镜像;磁盘工具可以在磁盘写保护的情况下,创建一个磁盘的dmg格式镜像(类似DD镜像);
2.使用网络复刻机复制硬盘数据;
2.备份数据:
1.数据备份主要目标是backup.db,以下是位置解析:
1.Time machine:备份系统和用户数据的应用数据,,也可以发现一些删除的数据;
2.备份到独立的非本机硬盘,HFS格式的硬盘分区,如:u盘、移动硬盘等;
3.Airport time capsule 美国苹果公司的一款无线硬盘,可以配合Time machine使用
