2020年01月14日

Apple Forensic

EFI ------
Boot Menu --> Power on & OPT+ALT key
Default Partion --> Macintosh HD
ターゲットディスクモード
 電源+OPT keyでStartup Menu後にT keyを押す
 内蔵ディスクを別のMacの外部ディスクとして接続
 (ThunderBolt or Firewire, 2016 MacBook Pro USB-C)
 2016 MacBookPro 蓋を開けただけで電源オンになるので、すぐOPT Key
Single User Mode --> Command + S

Triage and Imaging --------
最近使ったアプリ・ファイル
 Apple Menu - Recent Items ※アルファベット順(日時順ではない)
Finder - Go - Recent Folder、Go To Folder(直打ち)、Connect To Server(サーバー名、アドレス)
APFS 最新ファイルシステム(HFS,HFS+の後継)2017〜
 差分によるスペース節約、スナップショット等の機能(仮想ドライブ的)
 1つの物理スペースを複数の論理ドライブにマウント
 全ての論理ドライブのイメージを取る必要がある
T2 Chip
2017からMacに採用されたiPhoneライクなチップ
 外部ディスクからのブートはできない(リカバリモードで変更可)
 パスワードの連続試行制限
物理イメージ取得はターゲットディスクモードを使用する(Mac-to-Mac)
 (Thunderbolt3で接続  転送用USB-Cも可)
 ディスクはFull暗号化
  ※File Vaultがかかっていなければ、マウントした際に自動復号される
保全用Macには、APFSイメージングに対応したMacQuisition等が必要
HFS+
 全てのファイルがユニークNoの "Catalog Node ID"(連番)で管理されている

 連番を調べれば、ファイルの作成順が確認できる(変更不可)
 APFSも仕組みは同じだが、Catalg Fileはではなく、B-Treeで管理される
ファイル復元
 削除と同時にカタログ上のエントリーも消されるのでカービングしか方法はない

Overview ------
/Users//Library/ 重点的に解析
HFS,APFSでは、コピーやダウンロードの時もファイル作成日が引き継がれる
/Users//Library/Application Support/ 各アプリのインストールで作成されるデータ
OSバージョン /System/Library/CoreServices/SystemVersion.plist
ログイン情報 ユーザー/Library/Preferences/com.apple.loginwindow.plist
plistファイルは更新の度に削除・作成される → Catalog Node IDが新たに付与される
Finder使用履歴 ユーザー/Users/josh/Library/Preferences/com.apple.finder.plist
最近使ったファイル ユーザー/Library/Application Support/com.apple.sharedfilelist
Spotlight検索履歴(機能等の検索) ユーザー/josh/Library/Application Support/com.apple.spotlight.Shortcuts
イメージファイル
 DMG, Sparse Image いずれもダブルクリックでマウントできる
DMG
 ディスクサイズと同じサイズのファイル
暗号化DMGファイルのヘッダ encrcdsa
Sparse Image、bundle
 サイズが伸縮する
Quick Look(クイックルック)
macOSに搭載されている、ファイルを手早くプレビューし確認することのできる機能。 Mac OS X v10.5のFinderの機能の一部として、アップルのADC 2007で発表された。
Shadow Mounting
 イメージファイルを疑似書き込みモードでマウントするmacOS標準機能(ターミナルコマンド)

Internet -----
com.apple.Safari.plist
macOS 10.14 ~/Library/Containers/...
macOS 10.13 and older ~/Library/Preferences/...
 検索履歴 RecentWebSearches
Downloadしたファイル metadataにダウンロードしたURLが記録される(macOSの仕様)
com.apple.LaunchServices.QuarantineEventsV2
 ダウンロード履歴のトラッキングデータベース
 メールの添付ファイルもmessage ID等をトラッキングする
 3rdパーティアプリはトラッキングできないものがある(Torブラウザの最新版等)
Safari/History.db
 history_visits originカラム 0:そのデバイスでアクセス 1:他のデバイスでアクセス

Media ------
photos.db
画像ファイルが消去されても、RKPlaceテーブルにファイル名+位置情報が残っている可能性がある
~/Pictures/Photos Library.photoslibrary/Masters
 写真を編集・削除してもMasterフォルダに原本が残っている可能性がある
SELECT isInTrash, inTrashDate, fileName, imagePath, imageDate,
fileCreationDate FROM RKMaster WHERE isInTrash = 1;

Device Connections ----
com.finder.plist
FXDesktopVolumePositions 接続されたデバイスの一覧 (名前+日付のEpoch値(Float))
com.apple.iPod.plist
Macに接続されたiOSデバイスの一覧(シリアル番号)
~/Library/Preferences/.GlobalPreferences.plist
 接続されたデバイスのメーカー名・モデル名が記録される
Unified Log
ログを一つのフォルダに集めて、フォルダ名を.logarchiveにすると、バンドルされたログアーカイブとして、コンソールに一覧表示できる
~/private/var/db/uuidtext ~/private/var/db/diagnostics
Wi-Fi履歴
 ~/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
 ※iCloudで共有された他のデバイスの接続も含まれる(接続日時が空欄になる)
/Library/Preferences/SystemConfiguration/preferences.plist
 ネットワークインターフェース情報等
/private/var/db/dhcpclient/leases/
 Macアドレス、最後に割り当てられたIPアドレス等
Airdrop
 /Library/Caches/com.apple.Airdrop
 Apple System Logs
  • Naming convention:
  • For example, 2016.01.05.U501.asl
 Unified Log(上記)
 com.apple.quarantine (sharingdを探す)
com.apple.sharingd.plist (セッティング)
 送受信されたファイルのメタデータ(kmdItemWherefroms等)

iCloud ----
~/Library/Preferences/MobileMeAccounts.plist
アカウントの設定情報等
~/Library/Mobile Documents
同期されたファイル

Mail ----
~/Library/Mail/V6/MailData/Envelope Index (Sqlite)
 メールが削除されても、ダイジェストや送受信情報が残る
 (Apple Mail)
posted by 貝貝 at 17:24| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

Windows10の起動履歴(イベントログ)

Windows10では、通常のシャットダウンからの起動を行っても、イベントログ(System.evtx)に
 Kernel-General 13(シャットダウン)、12(起動)
が出力されない。
再起動を行った場合のみ、完全なシャットダウンが実行されるので、13⇒12の順に出力される。
※完全なシャットダウン操作(シフト押下しながらシャットダウン)を行った場合も出力される。

なので、Win10の通常のシャットダウンによる起動履歴については、ユーザーのログオン・ログオフとして出力される
 Winlogon 7002(ログオフ)、7001(ログオン)
により確認する方法が最適である。
posted by 貝貝 at 09:18| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする