Boot Menu --> Power on & OPT+ALT key
Default Partion --> Macintosh HD
ターゲットディスクモード
電源+OPT keyでStartup Menu後にT keyを押す
内蔵ディスクを別のMacの外部ディスクとして接続
(ThunderBolt or Firewire, 2016 MacBook Pro USB-C)
2016 MacBookPro 蓋を開けただけで電源オンになるので、すぐOPT Key
Single User Mode --> Command + S
Triage and Imaging --------
最近使ったアプリ・ファイル
Apple Menu - Recent Items ※アルファベット順(日時順ではない)
Finder - Go - Recent Folder、Go To Folder(直打ち)、Connect To Server(サーバー名、アドレス)
APFS 最新ファイルシステム(HFS,HFS+の後継)2017〜
差分によるスペース節約、スナップショット等の機能(仮想ドライブ的)
1つの物理スペースを複数の論理ドライブにマウント
全ての論理ドライブのイメージを取る必要がある
T2 Chip
2017からMacに採用されたiPhoneライクなチップ
外部ディスクからのブートはできない(リカバリモードで変更可)
パスワードの連続試行制限
物理イメージ取得はターゲットディスクモードを使用する(Mac-to-Mac)
(Thunderbolt3で接続 転送用USB-Cも可)
ディスクはFull暗号化
※File Vaultがかかっていなければ、マウントした際に自動復号される
保全用Macには、APFSイメージングに対応したMacQuisition等が必要
HFS+
全てのファイルがユニークNoの "Catalog Node ID"(連番)で管理されている
連番を調べれば、ファイルの作成順が確認できる(変更不可)
APFSも仕組みは同じだが、Catalg Fileはではなく、B-Treeで管理される
ファイル復元
削除と同時にカタログ上のエントリーも消されるのでカービングしか方法はない
Overview ------
/Users/
HFS,APFSでは、コピーやダウンロードの時もファイル作成日が引き継がれる
/Users/
OSバージョン /System/Library/CoreServices/SystemVersion.plist
ログイン情報 ユーザー/Library/Preferences/com.apple.loginwindow.plist
plistファイルは更新の度に削除・作成される → Catalog Node IDが新たに付与される
Finder使用履歴 ユーザー/Users/josh/Library/Preferences/com.apple.finder.plist
最近使ったファイル ユーザー/Library/Application Support/com.apple.sharedfilelist
Spotlight検索履歴(機能等の検索) ユーザー/josh/Library/Application Support/com.apple.spotlight.Shortcuts
イメージファイル
DMG, Sparse Image いずれもダブルクリックでマウントできる
DMG
ディスクサイズと同じサイズのファイル
暗号化DMGファイルのヘッダ encrcdsa
Sparse Image、bundle
サイズが伸縮する
Quick Look(クイックルック)
macOSに搭載されている、ファイルを手早くプレビューし確認することのできる機能。 Mac OS X v10.5のFinderの機能の一部として、アップルのADC 2007で発表された。
Shadow Mounting
イメージファイルを疑似書き込みモードでマウントするmacOS標準機能(ターミナルコマンド)
Internet -----
com.apple.Safari.plist
macOS 10.14 ~/Library/Containers/...
macOS 10.13 and older ~/Library/Preferences/...
検索履歴 RecentWebSearches
Downloadしたファイル metadataにダウンロードしたURLが記録される(macOSの仕様)
com.apple.LaunchServices.QuarantineEventsV2
ダウンロード履歴のトラッキングデータベース
メールの添付ファイルもmessage ID等をトラッキングする
3rdパーティアプリはトラッキングできないものがある(Torブラウザの最新版等)
Safari/History.db
history_visits originカラム 0:そのデバイスでアクセス 1:他のデバイスでアクセス
Media ------
photos.db
画像ファイルが消去されても、RKPlaceテーブルにファイル名+位置情報が残っている可能性がある
~/Pictures/Photos Library.photoslibrary/Masters
写真を編集・削除してもMasterフォルダに原本が残っている可能性がある
SELECT isInTrash, inTrashDate, fileName, imagePath, imageDate,
fileCreationDate FROM RKMaster WHERE isInTrash = 1;
Device Connections ----
com.finder.plist
FXDesktopVolumePositions 接続されたデバイスの一覧 (名前+日付のEpoch値(Float))
com.apple.iPod.plist
Macに接続されたiOSデバイスの一覧(シリアル番号)
~/Library/Preferences/.GlobalPreferences.plist
接続されたデバイスのメーカー名・モデル名が記録される
Unified Log
ログを一つのフォルダに集めて、フォルダ名を.logarchiveにすると、バンドルされたログアーカイブとして、コンソールに一覧表示できる
~/private/var/db/uuidtext ~/private/var/db/diagnostics
Wi-Fi履歴
~/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
※iCloudで共有された他のデバイスの接続も含まれる(接続日時が空欄になる)
/Library/Preferences/SystemConfiguration/preferences.plist
ネットワークインターフェース情報等
/private/var/db/dhcpclient/leases/
Macアドレス、最後に割り当てられたIPアドレス等
Airdrop
/Library/Caches/com.apple.Airdrop
Apple System Logs
• Naming convention:
• For example, 2016.01.05.U501.asl
Unified Log(上記)
com.apple.quarantine (sharingdを探す)
com.apple.sharingd.plist (セッティング)
送受信されたファイルのメタデータ(kmdItemWherefroms等)
iCloud ----
~/Library/Preferences/MobileMeAccounts.plist
アカウントの設定情報等
~/Library/Mobile Documents
同期されたファイル
Mail ----
~/Library/Mail/V6/MailData/Envelope Index (Sqlite)
メールが削除されても、ダイジェストや送受信情報が残る
(Apple Mail)
