2020年02月05日

Mac OS インストール・アップデート履歴の確認方法

画面左上隅のアップル・メニュー(リンゴマーク)から「このMacについて」をクリックし「システムレポート…」を選択し、「ソフトウェア」項目の「インストール」をクリックすればインストール済みのすべてのソフトウェア履歴(Apple社以外のものも含めて)を閲覧できます。 

Apple社製のソフトを検索したい場合は「ソース」の項目でソートします。

また、「インストール日」でソートしたりすることも可能です。

(Apple サポート)
posted by 貝貝 at 15:44| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

2020年02月04日

Mac OSの推移

PDFファイル参照

Mac OSの推移.pdf
posted by 貝貝 at 16:52| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

2020年01月14日

Apple Forensic

EFI ------
Boot Menu --> Power on & OPT+ALT key
Default Partion --> Macintosh HD
ターゲットディスクモード
 電源+OPT keyでStartup Menu後にT keyを押す
 内蔵ディスクを別のMacの外部ディスクとして接続
 (ThunderBolt or Firewire, 2016 MacBook Pro USB-C)
 2016 MacBookPro 蓋を開けただけで電源オンになるので、すぐOPT Key
Single User Mode --> Command + S

Triage and Imaging --------
最近使ったアプリ・ファイル
 Apple Menu - Recent Items ※アルファベット順(日時順ではない)
Finder - Go - Recent Folder、Go To Folder(直打ち)、Connect To Server(サーバー名、アドレス)
APFS 最新ファイルシステム(HFS,HFS+の後継)2017〜
 差分によるスペース節約、スナップショット等の機能(仮想ドライブ的)
 1つの物理スペースを複数の論理ドライブにマウント
 全ての論理ドライブのイメージを取る必要がある
T2 Chip
2017からMacに採用されたiPhoneライクなチップ
 外部ディスクからのブートはできない(リカバリモードで変更可)
 パスワードの連続試行制限
物理イメージ取得はターゲットディスクモードを使用する(Mac-to-Mac)
 (Thunderbolt3で接続  転送用USB-Cも可)
 ディスクはFull暗号化
  ※File Vaultがかかっていなければ、マウントした際に自動復号される
保全用Macには、APFSイメージングに対応したMacQuisition等が必要
HFS+
 全てのファイルがユニークNoの "Catalog Node ID"(連番)で管理されている

 連番を調べれば、ファイルの作成順が確認できる(変更不可)
 APFSも仕組みは同じだが、Catalg Fileはではなく、B-Treeで管理される
ファイル復元
 削除と同時にカタログ上のエントリーも消されるのでカービングしか方法はない

Overview ------
/Users//Library/ 重点的に解析
HFS,APFSでは、コピーやダウンロードの時もファイル作成日が引き継がれる
/Users//Library/Application Support/ 各アプリのインストールで作成されるデータ
OSバージョン /System/Library/CoreServices/SystemVersion.plist
ログイン情報 ユーザー/Library/Preferences/com.apple.loginwindow.plist
plistファイルは更新の度に削除・作成される → Catalog Node IDが新たに付与される
Finder使用履歴 ユーザー/Users/josh/Library/Preferences/com.apple.finder.plist
最近使ったファイル ユーザー/Library/Application Support/com.apple.sharedfilelist
Spotlight検索履歴(機能等の検索) ユーザー/josh/Library/Application Support/com.apple.spotlight.Shortcuts
イメージファイル
 DMG, Sparse Image いずれもダブルクリックでマウントできる
DMG
 ディスクサイズと同じサイズのファイル
暗号化DMGファイルのヘッダ encrcdsa
Sparse Image、bundle
 サイズが伸縮する
Quick Look(クイックルック)
macOSに搭載されている、ファイルを手早くプレビューし確認することのできる機能。 Mac OS X v10.5のFinderの機能の一部として、アップルのADC 2007で発表された。
Shadow Mounting
 イメージファイルを疑似書き込みモードでマウントするmacOS標準機能(ターミナルコマンド)

Internet -----
com.apple.Safari.plist
macOS 10.14 ~/Library/Containers/...
macOS 10.13 and older ~/Library/Preferences/...
 検索履歴 RecentWebSearches
Downloadしたファイル metadataにダウンロードしたURLが記録される(macOSの仕様)
com.apple.LaunchServices.QuarantineEventsV2
 ダウンロード履歴のトラッキングデータベース
 メールの添付ファイルもmessage ID等をトラッキングする
 3rdパーティアプリはトラッキングできないものがある(Torブラウザの最新版等)
Safari/History.db
 history_visits originカラム 0:そのデバイスでアクセス 1:他のデバイスでアクセス

Media ------
photos.db
画像ファイルが消去されても、RKPlaceテーブルにファイル名+位置情報が残っている可能性がある
~/Pictures/Photos Library.photoslibrary/Masters
 写真を編集・削除してもMasterフォルダに原本が残っている可能性がある
SELECT isInTrash, inTrashDate, fileName, imagePath, imageDate,
fileCreationDate FROM RKMaster WHERE isInTrash = 1;

Device Connections ----
com.finder.plist
FXDesktopVolumePositions 接続されたデバイスの一覧 (名前+日付のEpoch値(Float))
com.apple.iPod.plist
Macに接続されたiOSデバイスの一覧(シリアル番号)
~/Library/Preferences/.GlobalPreferences.plist
 接続されたデバイスのメーカー名・モデル名が記録される
Unified Log
ログを一つのフォルダに集めて、フォルダ名を.logarchiveにすると、バンドルされたログアーカイブとして、コンソールに一覧表示できる
~/private/var/db/uuidtext ~/private/var/db/diagnostics
Wi-Fi履歴
 ~/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
 ※iCloudで共有された他のデバイスの接続も含まれる(接続日時が空欄になる)
/Library/Preferences/SystemConfiguration/preferences.plist
 ネットワークインターフェース情報等
/private/var/db/dhcpclient/leases/
 Macアドレス、最後に割り当てられたIPアドレス等
Airdrop
 /Library/Caches/com.apple.Airdrop
 Apple System Logs
  • Naming convention:
  • For example, 2016.01.05.U501.asl
 Unified Log(上記)
 com.apple.quarantine (sharingdを探す)
com.apple.sharingd.plist (セッティング)
 送受信されたファイルのメタデータ(kmdItemWherefroms等)

iCloud ----
~/Library/Preferences/MobileMeAccounts.plist
アカウントの設定情報等
~/Library/Mobile Documents
同期されたファイル

Mail ----
~/Library/Mail/V6/MailData/Envelope Index (Sqlite)
 メールが削除されても、ダイジェストや送受信情報が残る
 (Apple Mail)
posted by 貝貝 at 17:24| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

Windows10の起動履歴(イベントログ)

Windows10では、通常のシャットダウンからの起動を行っても、イベントログ(System.evtx)に
 Kernel-General 13(シャットダウン)、12(起動)
が出力されない。
再起動を行った場合のみ、完全なシャットダウンが実行されるので、13⇒12の順に出力される。
※完全なシャットダウン操作(シフト押下しながらシャットダウン)を行った場合も出力される。

なので、Win10の通常のシャットダウンによる起動履歴については、ユーザーのログオン・ログオフとして出力される
 Winlogon 7002(ログオフ)、7001(ログオン)
により確認する方法が最適である。
posted by 貝貝 at 09:18| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2020年01月09日

IME入力候補(入力履歴)の抽出&パース

【IME予測入力データの保存場所】
 Users\(ユーザーアカウント)\AppData\Roaming\Microsoft\InputMethod\Shared\JpnIHDS.dat
 (文字コード:UNICODE)

【パース例】
2020/01/08 23:45:53 つうち    通知
2020/01/09 0:51:48 Android Android
2020/01/09 0:51:48 Gmail   Gmail
2020/01/09 0:51:48 あぷり     アプリ
2020/01/09 0:58:00 つうち     通知

【パース方法】
 上記ファイルを、Magnet AXIOM のアーティファクト「IME候補」で検索する
  ※ ファイル単体でもパース可能
posted by 貝貝 at 15:44| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2019年12月06日

SafariブラウザのGmailキャッシュ

保存場所 ※ SQLite形式
 Mac OS:Users/(ユーザーアカウント名)/Library/Safari/Databases/https_mail.google.com_0/
     (ランダム値).db
 iOS  :private/var/mobile/Applications/com.apple.mobilesafari/Library/WebKit/WebsiteData/
      WebSQL/https_mail.google.com_0/ (ランダム値).db

テーブル
 cached_messages
  メール本文の全文を含むキャッシュ

 cached_conversation_headers
  メール本文のダイジェストを含むキャッシュ
posted by 貝貝 at 09:51| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

2019年11月21日

簡易なライブレスポンス

【起動履歴】(イベントビューア)
System.evtx ""Kernel-General"" ID:12,13 (OSの起動、終了)
System.evtx ""Kernel-Power"" ID:42,107 (スリープ状態、再開)
System.evtx ""EventLog"" ID:6005,6006 (ログサービス開始、終了)
System.evtx ""EventLog"" ID:6008 (強制終了後の起動)
System.evtx ""Winlogon"" ID:7001,7002 (ログオン、ログオフ)
Security.evtx ""Microsoft Windows Security Auditing""
           ID:4024,4634 (ログオン、ログオフ)
           ID:4025(ログオン失敗)

【リモートデスクトップによるログオン】(イベントビューア)
イベントログのSecurity.evtx ログオンタイプ10

【ルータの脆弱性】
JPCERT等で脆弱性がレポートされているモデル
ルータ管理画面にグローバルIP側からログインできる設定になっているか

【アンチウイルスソフト導入状況】
ライセンスは有効か、最新化されているか、検知履歴はあるか 起動中のアンチウイルスソフトの設定確認

【不審なメールの受信履歴】
メールソフトを起動して確認(添付ファイル、リンクURL)

【不審な実行ファイルの起動履歴】
Prefetch等 ツール → WiinPrefetchView、UserAssist

【レジストリのRunキー】
Autoruns

【不審なプロセス】
Process Monitor

【不審な通信】
TCP Explorer
netstat -ab  (要管理者権限)
posted by 貝貝 at 10:50| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2019年11月01日

詳細なボリュームスナップショットのクラッシュ

ver19.8

詳細なボリュームスナップショットのオプション設定で、スレッドが「±0」だと例外処理でクラッシュすることがある。
スレッドを増加させれば回避できる。
(エラーレポート処理のバグらしい)
posted by 貝貝 at 18:07| Comment(0) | X-Ways | このブログの読者になる | 更新情報をチェックする

2019年10月31日

iPhone(iOS)利用頻度の高い場所 ※位置情報履歴

設定 → プライバシー → 位置情報サービス → (メニューの一番下)システムサービス → 利用頻度の高い場所

滞在時間及び現地までの移動方法・所要時間が表示される。
posted by 貝貝 at 11:14| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする