2020年01月14日

Apple Forensic

EFI ------
Boot Menu --> Power on & OPT+ALT key
Default Partion --> Macintosh HD
ターゲットディスクモード
 電源+OPT keyでStartup Menu後にT keyを押す
 内蔵ディスクを別のMacの外部ディスクとして接続
 (ThunderBolt or Firewire, 2016 MacBook Pro USB-C)
 2016 MacBookPro 蓋を開けただけで電源オンになるので、すぐOPT Key
Single User Mode --> Command + S

Triage and Imaging --------
最近使ったアプリ・ファイル
 Apple Menu - Recent Items ※アルファベット順(日時順ではない)
Finder - Go - Recent Folder、Go To Folder(直打ち)、Connect To Server(サーバー名、アドレス)
APFS 最新ファイルシステム(HFS,HFS+の後継)2017〜
 差分によるスペース節約、スナップショット等の機能(仮想ドライブ的)
 1つの物理スペースを複数の論理ドライブにマウント
 全ての論理ドライブのイメージを取る必要がある
T2 Chip
2017からMacに採用されたiPhoneライクなチップ
 外部ディスクからのブートはできない(リカバリモードで変更可)
 パスワードの連続試行制限
物理イメージ取得はターゲットディスクモードを使用する(Mac-to-Mac)
 (Thunderbolt3で接続  転送用USB-Cも可)
 ディスクはFull暗号化
  ※File Vaultがかかっていなければ、マウントした際に自動復号される
保全用Macには、APFSイメージングに対応したMacQuisition等が必要
HFS+
 全てのファイルがユニークNoの "Catalog Node ID"(連番)で管理されている

 連番を調べれば、ファイルの作成順が確認できる(変更不可)
 APFSも仕組みは同じだが、Catalg Fileはではなく、B-Treeで管理される
ファイル復元
 削除と同時にカタログ上のエントリーも消されるのでカービングしか方法はない

Overview ------
/Users//Library/ 重点的に解析
HFS,APFSでは、コピーやダウンロードの時もファイル作成日が引き継がれる
/Users//Library/Application Support/ 各アプリのインストールで作成されるデータ
OSバージョン /System/Library/CoreServices/SystemVersion.plist
ログイン情報 ユーザー/Library/Preferences/com.apple.loginwindow.plist
plistファイルは更新の度に削除・作成される → Catalog Node IDが新たに付与される
Finder使用履歴 ユーザー/Users/josh/Library/Preferences/com.apple.finder.plist
最近使ったファイル ユーザー/Library/Application Support/com.apple.sharedfilelist
Spotlight検索履歴(機能等の検索) ユーザー/josh/Library/Application Support/com.apple.spotlight.Shortcuts
イメージファイル
 DMG, Sparse Image いずれもダブルクリックでマウントできる
DMG
 ディスクサイズと同じサイズのファイル
暗号化DMGファイルのヘッダ encrcdsa
Sparse Image、bundle
 サイズが伸縮する
Quick Look(クイックルック)
macOSに搭載されている、ファイルを手早くプレビューし確認することのできる機能。 Mac OS X v10.5のFinderの機能の一部として、アップルのADC 2007で発表された。
Shadow Mounting
 イメージファイルを疑似書き込みモードでマウントするmacOS標準機能(ターミナルコマンド)

Internet -----
com.apple.Safari.plist
macOS 10.14 ~/Library/Containers/...
macOS 10.13 and older ~/Library/Preferences/...
 検索履歴 RecentWebSearches
Downloadしたファイル metadataにダウンロードしたURLが記録される(macOSの仕様)
com.apple.LaunchServices.QuarantineEventsV2
 ダウンロード履歴のトラッキングデータベース
 メールの添付ファイルもmessage ID等をトラッキングする
 3rdパーティアプリはトラッキングできないものがある(Torブラウザの最新版等)
Safari/History.db
 history_visits originカラム 0:そのデバイスでアクセス 1:他のデバイスでアクセス

Media ------
photos.db
画像ファイルが消去されても、RKPlaceテーブルにファイル名+位置情報が残っている可能性がある
~/Pictures/Photos Library.photoslibrary/Masters
 写真を編集・削除してもMasterフォルダに原本が残っている可能性がある
SELECT isInTrash, inTrashDate, fileName, imagePath, imageDate,
fileCreationDate FROM RKMaster WHERE isInTrash = 1;

Device Connections ----
com.finder.plist
FXDesktopVolumePositions 接続されたデバイスの一覧 (名前+日付のEpoch値(Float))
com.apple.iPod.plist
Macに接続されたiOSデバイスの一覧(シリアル番号)
~/Library/Preferences/.GlobalPreferences.plist
 接続されたデバイスのメーカー名・モデル名が記録される
Unified Log
ログを一つのフォルダに集めて、フォルダ名を.logarchiveにすると、バンドルされたログアーカイブとして、コンソールに一覧表示できる
~/private/var/db/uuidtext ~/private/var/db/diagnostics
Wi-Fi履歴
 ~/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
 ※iCloudで共有された他のデバイスの接続も含まれる(接続日時が空欄になる)
/Library/Preferences/SystemConfiguration/preferences.plist
 ネットワークインターフェース情報等
/private/var/db/dhcpclient/leases/
 Macアドレス、最後に割り当てられたIPアドレス等
Airdrop
 /Library/Caches/com.apple.Airdrop
 Apple System Logs
  • Naming convention:
  • For example, 2016.01.05.U501.asl
 Unified Log(上記)
 com.apple.quarantine (sharingdを探す)
com.apple.sharingd.plist (セッティング)
 送受信されたファイルのメタデータ(kmdItemWherefroms等)

iCloud ----
~/Library/Preferences/MobileMeAccounts.plist
アカウントの設定情報等
~/Library/Mobile Documents
同期されたファイル

Mail ----
~/Library/Mail/V6/MailData/Envelope Index (Sqlite)
 メールが削除されても、ダイジェストや送受信情報が残る
 (Apple Mail)
posted by 貝貝 at 17:24| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

Windows10の起動履歴(イベントログ)

Windows10では、通常のシャットダウンからの起動を行っても、イベントログ(System.evtx)に
 Kernel-General 13(シャットダウン)、12(起動)
が出力されない。
再起動を行った場合のみ、完全なシャットダウンが実行されるので、13⇒12の順に出力される。
※完全なシャットダウン操作(シフト押下しながらシャットダウン)を行った場合も出力される。

なので、Win10の通常のシャットダウンによる起動履歴については、ユーザーのログオン・ログオフとして出力される
 Winlogon 7002(ログオフ)、7001(ログオン)
により確認する方法が最適である。
posted by 貝貝 at 09:18| Comment(0) | Windows | このブログの読者になる | 更新情報をチェックする

2020年01月09日

IME入力候補(入力履歴)の抽出&パース

【IME予測入力データの保存場所】
 Users\(ユーザーアカウント)\AppData\Roaming\Microsoft\InputMethod\Shared\JpnIHDS.dat
 (文字コード:UNICODE)

【パース例】
2020/01/08 23:45:53 つうち    通知
2020/01/09 0:51:48 Android Android
2020/01/09 0:51:48 Gmail   Gmail
2020/01/09 0:51:48 あぷり     アプリ
2020/01/09 0:58:00 つうち     通知

【パース方法】
 上記ファイルを、Magnet AXIOM のアーティファクト「IME候補」で検索する
  ※ ファイル単体でもパース可能
posted by 貝貝 at 15:44| Comment(0) | Windows | このブログの読者になる | 更新情報をチェックする

2019年12月06日

SafariブラウザのGmailキャッシュ

保存場所 ※ SQLite形式
 Mac OS:Users/(ユーザーアカウント名)/Library/Safari/Databases/https_mail.google.com_0/
     (ランダム値).db
 iOS  :private/var/mobile/Applications/com.apple.mobilesafari/Library/WebKit/WebsiteData/
      WebSQL/https_mail.google.com_0/ (ランダム値).db

テーブル
 cached_messages
  メール本文の全文を含むキャッシュ

 cached_conversation_headers
  メール本文のダイジェストを含むキャッシュ
posted by 貝貝 at 09:51| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

2019年11月21日

簡易なライブレスポンス

【起動履歴】(イベントビューア)
System.evtx ""Kernel-General"" ID:12,13 (OSの起動、終了)
System.evtx ""Kernel-Power"" ID:42,107 (スリープ状態、再開)
System.evtx ""EventLog"" ID:6005,6006 (ログサービス開始、終了)
System.evtx ""EventLog"" ID:6008 (強制終了後の起動)
System.evtx ""Winlogon"" ID:7001,7002 (ログオン、ログオフ)
Security.evtx ""Microsoft Windows Security Auditing""
           ID:4024,4634 (ログオン、ログオフ)
           ID:4025(ログオン失敗)

【リモートデスクトップによるログオン】(イベントビューア)
イベントログのSecurity.evtx ログオンタイプ10

【ルータの脆弱性】
JPCERT等で脆弱性がレポートされているモデル
ルータ管理画面にグローバルIP側からログインできる設定になっているか

【アンチウイルスソフト導入状況】
ライセンスは有効か、最新化されているか、検知履歴はあるか 起動中のアンチウイルスソフトの設定確認

【不審なメールの受信履歴】
メールソフトを起動して確認(添付ファイル、リンクURL)

【不審な実行ファイルの起動履歴】
Prefetch等 ツール → WiinPrefetchView、UserAssist

【レジストリのRunキー】
Autoruns

【不審なプロセス】
Process Monitor

【不審な通信】
TCP Explorer
netstat -ab  (要管理者権限)
posted by 貝貝 at 10:50| Comment(0) | Windows | このブログの読者になる | 更新情報をチェックする

2019年11月01日

詳細なボリュームスナップショットのクラッシュ

ver19.8

詳細なボリュームスナップショットのオプション設定で、スレッドが「±0」だと例外処理でクラッシュすることがある。
スレッドを増加させれば回避できる。
(エラーレポート処理のバグらしい)
posted by 貝貝 at 18:07| Comment(0) | X-Ways | このブログの読者になる | 更新情報をチェックする

2019年10月31日

iPhone(iOS)利用頻度の高い場所 ※位置情報履歴

設定 → プライバシー → 位置情報サービス → (メニューの一番下)システムサービス → 利用頻度の高い場所

滞在時間及び現地までの移動方法・所要時間が表示される。
posted by 貝貝 at 11:14| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

2019年10月24日

fiddlerでiPhoneアプリのSSL通信を見る

@fiddlerをインストール。
  https://www.telerik.com/download/fiddler

AaddonsのページからCertMaker for iOS and Androidをインストール。
  http://www.telerik.com/fiddler/add-ons

Bfiddlerを起動してTools>Options>HTTPSからCapture HTTPS CONNECTsを有効にする。

CProtocolsを選択して;tls1.1;tls1.2を追加する。

DTools>Options>ConnectionsのAllow remote computers to connectを有効にする。

EInspectorsとかがあるパネルのFiddlerScriptタブを開いて、static function OnBeforeRequest関数に以下の処理を追加する。

  if (oSession.HTTPMethodIs("CONNECT"))
  {
    oSession["https-DropSNIAlerts"] = "yup";
    FiddlerApplication.Log.LogString("Legacy compat applied for request");
  }

Ffiddlerを再起動してTools>Options>HTTPS>ActionsからReset All Certificatesを実行し、その後Trust Root Certificateを実行して証明書を設定しなおす。

GiPhoneをwifiに接続しプロキシを設定する。(PCのプライベートアドレス+ポート:8888)

HiPhoneのsafariを開いてhttp://ipv4.fiddler:8888にアクセスし、FiddlerRoot certificateのリンクから証明書をダウンロードする。

I設定>一般>プロファイルから、ダウンロードしたfiddlerの証明書をインストールする。

J設定>一般>情報>証明書信頼設定からインストールした証明書を有効にする。

K通信を確認したいアプリを起動し、fiddlerにログが表示されることを確認する。

posted by 貝貝 at 11:58| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする

2019年10月17日

Apple authentication processの痕跡について(com.apple.identityservices.idstatuscache.plist)

ファイル:/var/mobile/Library/Preferences/com.apple.identityservices.idstatuscache.plist
 ※上記パスは、iPhoneのケース

【ネット上の解説】

● http://slidehtml5.com/zykj/kwdj/basic

This property list can also be a gold mine of information for deleted messages in FaceTime, iMessage, or e-mail. Identity services confirm the validity of a user’s credentials as it travels across the ESS (Enterprise Shared Services) of Apple. So within this file are phone numbers and e-mail addresses along with a UNIX date of the lookup for clear credentials. Content is not included, but simply having the metadata of the occurrence is enough.

このプロパティリストは、FaceTime、iMessage、または電子メールで削除されたメッセージに関する情報の宝庫でもあります。 アイデンティティサービスは、AppleのESS(エンタープライズ共有サービス)を通過するときに、ユーザーの資格情報の有効性を確認します。 したがって、このファイル内には、電話番号と電子メールアドレス、および明確な資格情報の検索のUNIX日付が含まれています。 コンテンツは含まれていませんが、オカレンスのメタデータがあれば十分です。


https://www.cellebrite.com/en/blog/how-ios-properties-files-can-confirm-a-suspects-contacts-even-if-data-deleted/

These records are significant as Apple device users of Facetime or iMessage input the Apple ID of another user the first time they attempt to contact them. When this occurs, the iOS references its Apple servers to validate the Apple User ID. As a result of this process, a new file record is created with the Apple User ID in a phone-number or email format including a timestamp. This user authentication record in the file cannot be deleted from a phone.
For digital investigators, this can be a vital source of digital evidence as the apple-id, communication type and timestamp can help confirm that two people have communicated with each other, and when their first communication occurred.

The authentication ping only happens once during the first instance that a user made an effort to contact another Apple user. Additionally, separate authentication records are recorded for each type of Apple communication service per device. This means that Facetime or iMessage communications are recorded separately at different times according to their first usage between users.

Even if data has been deleted from a phone’s directories or database, the authentication file remains intact, containing contact and communication records that can be parsed. It is important to note that this data only confirms that an authentication occurred but does not mean that a conversation happened or that a message was actually sent.

For example, when a person starts writing a message they could enter a recipients name and the authentication could occur so the record would appear in the database. If the person decides not to send the message, there would still be a record of an unsent message.

For members of the DFIR community, this capability was released on UFED Physical Analyzer 7.19. This feature is especially useful when attempting to establish the first contact between two or more persons of interest who also have Apple User Id’s. In UFED Physical Analyzer, this data is displayed as a log-entry with the relevant data: application, apple-id and timestamp.

View more details regarding the release of UFED Physical Analyzer 7.19 which also brought support of new data sources that can help investigators surface key evidence related to case subjects, especially when an iOS device is involved.

FacetimeまたはiMessageのAppleデバイスユーザーが最初に連絡しようとしたときに別のユーザーのApple IDを入力するため、これらのレコードは重要です。 これが発生すると、iOSはAppleサーバーを参照してAppleユーザーIDを検証します。 このプロセスの結果として、タイムスタンプを含む電話番号または電子メール形式のAppleユーザーIDで新しいファイルレコードが作成されます。 ファイル内のこのユーザー認証レコードは、電話から削除できません。
デジタル調査員にとって、これは、Apple ID、通信タイプ、およびタイムスタンプが2人が互いに通信したこと、および最初の通信がいつ発生したかを確認するのに役立つため、デジタル証拠の重要なソースになります。

認証pingは、ユーザーが別のAppleユーザーに連絡しようとした最初のインスタンス中に1回だけ発生します。さらに、デバイスごとにApple通信サービスのタイプごとに個別の認証レコードが記録されます。つまり、FacetimeまたはiMessageの通信は、ユーザー間の最初の使用状況に応じて、異なる時間に別々に記録されます。

電話のディレクトリまたはデータベースからデータが削除された場合でも、認証ファイルはそのまま残り、解析可能な連絡先と通信の記録が含まれます。このデータは認証が行われたことを確認するだけであり、会話が発生したことやメッセージが実際に送信されたことを意味するものではないことに注意することが重要です。

たとえば、メッセージの作成を開始するときに、受信者の名前を入力すると、認証が行われ、レコードがデータベースに表示されます。その人がメッセージを送信しないことに決めた場合、未送信のメッセージの記録が残っています。

DFIRコミュニティのメンバー向けに、この機能はUFED Physical Analyzer 7.19でリリースされました。この機能は、AppleユーザーIDも持っている2人以上の関心のある人の間で最初の連絡を確立しようとする場合に特に便利です。 UFED Physical Analyzerでは、このデータは関連するデータ(アプリケーション、アップルID、タイムスタンプ)を含むログエントリとして表示されます。

UFED Physical Analyzer 7.19のリリースに関する詳細をご覧ください。特にiOSデバイスが関与している場合、調査対象者が事件の主題に関連する重要な証拠を明らかにするのに役立つ新しいデータソースのサポートも提供されました。
posted by 貝貝 at 09:22| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2019年10月15日

Gmailオフライン機能によるメールデータのダウンロード

@Google ChromeでGmailにアクセスし、「設定」−「オフライン」

A「オフラインメールを有効にする」をチェックオン

B「同期設定」で、過去7日間・30日間・90日間のいずれかを選択

C「変更を保存」をクリックすると、ダウンロードが開始する

Dオフライン用URLのブックマークが表示されるので、ブックマークに保存する(Chromeでしか参照できない)


※ メールデータは、PCの下記ローカルフォルダにIndexDB形式で保存される

C:\Users\ユーザー\AppData\Local\Google\Chrome\User Data\Default\IndexedDB\https_mail.google.com_0.indexeddb.leveldb
posted by 貝貝 at 15:33| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする