DT2005 Kriminalteknisk datavetenskap II

Transkript

1 HögskolanDalarna Projektarbete DT2005 KriminaltekniskdatavetenskapII MacOSXforensics Enintroduktion Namn:KevinLund Pers.Nr: E post:h06kevlu@du.se Kursansvarig HansJones

2

3 MacOSXforensics Enintroduktion Bakgrundochhistorik MacOSXenöversikt Boot processen refit HFS+ochdessdatastrukturer Andrafilsystem MacOSXkatalogstruktur Användarnashemmakatalog Användarbiblioteket Programochteknologier Bonjour(Rendezvous) FileVault Spotlight Finder DiskArbitration AddressBook ical Mail Mac&MobileMe Nyckelhanteraren Safari Programförsnabbmeddelanden MacOSXloggfiler PropertyListFormatFile(.plist) Informationsförvärv MacOSBootkommandon Single usermode LiveCD TargetDiskMode FysiskurplockningavinternHD Liveundersökning MinnesdumppåenMac Bilagor MANsidor Diskarbitrationd Plutil InitialDataGathering MacOSX10.4CommandLineUtilitiesandDaemons MacOSXAdminHack Litteraturförteckning ii

4 MacOSXforensics Enintroduktion iii

5 MacOSXforensics Enintroduktion Bakgrundochhistorik Redan1984släppteApplesinförstaMacintoshochvardetförstasystemetsominnehöllett grafisktgränssnitt(gui)somvanligapersonerhaderådmed.ändasedandessharmacintosh ökatipopularitetochharidagenstorskaraanhängare.endelansertillochmedattmacintosh anhängareharskapatnågonsortskult. ItaktmedökadpopularitetblandMacintoshanhängareökarocksåbehovetavattutvinna informationursystemeniettforensisktsyfte.detfinnsendelapplemacintoshdatoreri hemmenochpåarbetsplatsersomanvändersigavgamlamacos.idettaarbetekommerjag dockatttittanärmarepåmacosx10.5(leopard).mycketavinformationenkanocksåtillämpas påliteäldresystemsom10.3och10.4mendettaärintegaranterat. 2 MacOSXenöversikt MacOSXbyggerigrundenpåavAppleuppköptaNeXTochdessoperativsystemNeXTSTEP. NeXTSTEPvarettobjektorienterat,multitaskingUnixOSsombyggdepåMachkärnan tillsammansmedkällkodfrånbsdunix.dessatvådelarutgördagenskärnaiosxmednamnet Darwin. AllaMacOSXversioneranvändersigavdetunderliggandeUnixsystemet.MacOSXärintebara ettgui baseratoperativsystemutandetärocksåkommandodrivetgenomett terminalgränssnitt.dethärgeranvändarnastorflexibilitetochkraft.störredelenav användarskaranhållersighelsttilldetgrafiskagränssnittetmedanmeraavanceradeanvändare gärnaanvändersigavterminalen.mycketavlinuxkällkodkankompileraspåenmacutan störreändringar.detfinnsettprojektkallatförmacports 1 somunderlättarföranvändarenatt kompileraochinstalleraportadeprogram. 2.1 Boot processen Apples,MacintoshsvarpåPCBIOS(BasicInputOutputSystem)ärOpenFirmware(OF)och ExtensibleFirmwareInterface(EFI).OpenFirmwarehittarmanpåMacintoshdatorermed PowerPCprocessorerochEFIpåIntelbaserade. OFellerEFIärteknisktsättinteendelavOSXmendetutgörenvikigdeliApple datorernas funktion.openfirmwareärenöppenickelåst,plattformsoberoendeboot firmwaresomär placeradibootrom 2.OpenFirmwarekananvändasförattskräddarsyboot processensamt användasförattdiagnosera,avlusaochkanävenanvändasförprogrammering.efiärväldigt liktopenfirmware.(amit Singh, 2006) ÄrimodernaAppledatorer,ettpåmoderkortetplaceratflashEEPROM. 1

6 MacOSXforensics Enintroduktion NärmanslårpåströmmentillenMacintoshdatorsåaktiverasBootROM.BootROMhartvå huvudsakligauppgifter: 1. Initialiseringavhårdvara 2. Väljaettoperativsystemattköra. FörstsåkörsenPOST(Power OnSelfTest)processsominitialiserarendelhårdvaraoch kontrollerarattdetfinnstillräckligtmedminneochattminnetäribraskick.restenav hårdvaraninitialiserasipowerpc baserademacintoshdatoreravopenfirmware.ofbygger ocksåettinitialtenhetsträd 3 ochväljersedanvilketossomskallanvändas.iintel baserade MacintoshdatorersåsköterEFIgrundläggandeinitialiseringochväljersedanvilketOSsom skallaktiveras. OmdetfinnsfleraoperativsysteminstalleradepådatornsåväljerOFellerEFIdet operativsystemsomvaldessenastisysteminställningar(startskiva).förattväljaosattboota ellerstartaifrånsåkanmanhållainnealt tangentenvidstartavdatorn. NärsedanBootROMärfärdigochenMacOSXpartitionpåhårddiskenharvaltssålämnas kontrollenövertillbootx(powerpc)ellerboot.efi(intel).denhuvudsakligauppgiftensombåda dessas.k.boot hanterareharärattladdakärnanochdessmiljö. ManhittarbådeBootXochbooti.efiunder: /System/Library/CoreServices Mankanocksåhittaenkopiaavboot.efiunder: /usr/standalone/i386/boot.efi Vidtillfällendåmant.ex.bootarfrånenUFSvolym,enRAIDvolymetc.såkommerenkopiaav boot hanterarenattfinnaspåenseparathfs+ hjälp volymföratthjälpasystemetattstarta.i vissaversioneravmacosxsåkanmanhittaenkopiaavkärnansamtmkext 4 cachepå hjälpvolymen.isituationersomdessasåkommerinteboot hanterarenochandrakomponenter pårootenhetenattanvändas. Boot hanterarenförsökerförstladdainenför länkadversionavkärnansominnehålleralla enhetsdrivrutinersomärinblandadeisjälvaboot processen.dennaför länkadekärnakanman hittapåföljandeplats: /System/Library/Caches/com.apple.kernelcaches 3 Enhierarkiskrepresentationavenhetersomärassocieradmeddatorn. 4 ÄrettkomprimeratarkivsomspararinformationomenellerfleraKEXT(KernelExtensions)somisintur användsavboot hanteraren. 2

7 MacOSXforensics Enintroduktion Genomattiförväglänkadessadrivrutinerinikärnansåminskasboot tiden.omdetskullevara såattdennacacheskullesaknas,ärföråldradellerkorruptsåkommerboot hanterarenatt försökaladdainsammadrivrutiner,allapåengångiformavettenkelt,komprimeratarkivsom kallasförmkextcache. Skulledetvisasigattocksådennacachepånågotsättvarakorrupt,saknasellerföråldradså kommerboot hanterarenattletaefterdrivrutinerochkernelextensionsunder: /System/Library/Extensions Närnualladrivrutinersomkrävsförattbootaärinladdadekommerboot hanterarenattstarta initialiseringenavkärnan.kärnaninitialiserarmachochbsdstrukturernaochinitialiserar sedani/o.i/okitetlänkardeinladdadedrivrutinernainikärnan.närkärnanhittarrootenhetensåkommerbsdatt rootas utifråndennaenhet.häreftersåtarrootsystemprocessen launchdöverochinitialiserarloginfönstret refit AppleerbjuderingaverktygförattfåtillgångtillEFI.EfterBootsåkommermaninteåtEFI.Det finnsdockverktygförattfåtillgångtillefi.ettavdessaverktygärrefitsomkanhittaspå Sourceforge.net: DettaverktygmåsteinstallerasochärintedetlämpligasteverktygetattköraunderenLive undersökning.mankandockbootamedenbootbardiskmeddettaverktyginstalleratochsamla inönskadinformation.deninformationmankanfåutrörsigomdatum,tidochlåg nivå information.dokumentationförefiärintedenbästasåandramedelkanskelämparsigbättre föratthittaovanståendeinformation. Ettanvändningsområdefördettaverktygärsomenboot menyidefallmanharflera operativsysteminstalleradepåenheten. 3

8 MacOSXforensics Enintroduktion HFS+ochdessdatastrukturer FilsystemetHFS+(HierarchicalFileSystemPlus)ochdetäldreHFSärdetvådominerande filsystemsommanhittarpåenmacintoshdator.hfs+ävenkalladhfsextendedellermacos extendedintroduceradesisambandmedattmacos8.1lanseradesi1998.hfs+ärefterföljaren tilldetgamlahfsochgerstödförstörrefiler(blockadressernaär32 bitiställetför16 bit). HFS+stöderfilnamnupptill255teckenUTF 16. EnHFS+volymärindeladisektorersomnormaltär512bytesstora.Dessasektorerärsedan grupperadeiallokeringsblocksomkaninnehållaenellerflerasektorer.normalstorlekpåett allokeringsblockär4kb.hurmångaallokeringsblocksomfinnspåenhfs+volymbestämsav volymstorleken. Reserved Boot Volume header Allocation file Catalog file Extent overflow file Attribute file Startup file Alternate volume header User file forks or free space Figur2.1StrukturenienHFS+volm. DetfinnstotalniostyckenolikastrukturersombyggeruppenHFS+volym: 1. Sektorerna0och1ärBootblockensominnehållerinformationochinstruktionersomär nödvändigaförattstartaupp,bootasystemet. 2. Sektor2beståravVolumeHeaderellerVolymsidhuvudetochinnehållerinformation omhelavolymen.informationenärt.ex.storlekenpåallokeringsblocken,datumochtid närvolymenskapadesochplaceringenavandravolymstrukturersomt.ex.katalogfilen ochextentoverflowfile.volymsidhuvudetfinnsalltidpåsammaplats. 3. Allokeringsfilenhållerredapåvilkaallokeringsblocksomärledigarespektive upptagna.varjeallokeringsblockbeståravenbit.enettaindikerarettupptaget allokeringsblockochennollaettledigt.platsenpådennastrukturkanvariera. 4. KatalogfilenärettB* trädsominnehållerregisteröverallafilerochmapparsomfinns lagradepåvolymen.ettregisterimacosxharstorleken8kib. 5. ExtentOverflowFileärettannatB* trädsomspararinformationomde allokeringsblocksomärallokeradetillvarjefil. 6. AttributfilenärytterligareettB* träd.attributfilenkansparatreolikatyperav4kib register:inlinedataattributerecords,forkdataattributerecordsochextensionattribute records.inlinedataattributeregisterspararsmåattributsomfårplatsinutiregistreti sig.forkdataattributeregistreninnehållerreferensertillmaximaltåttastyckens.k. 4

9 MacOSXforensics Enintroduktion extentssomkaninnehållastörreattribut.extensionattributeregistrenanvändsföratt byggautforkdataattributenärdeåttaolikas.k.extentsredanäranvända. 7. Uppstartsfilen,äravseddföricke MacOSsystemsominteharstödförHFSellerHFS+. 8. Dennästsistastrukturen,detalternativavolymhuvudetmotsvararAlternateMaster DirectoryBlockienHFSvolym. 9. DensistastrukturenärreserveradförApple.Denanvändsunderprocessendådatorn tillverkas. EnfilpåettHFSsysstemhartvås.k.gafflar: 1. Datafork 2. Resourcefork File Enellerbådadessagafflarkanvaratomma. Datagaffelninnehållerinformationprecissom envanligfilinnehållerilinuxellerwindows. ResursgaffelninnehållerdäremotMacintosh resurser,dataiettspecielltformatsom beskrivert.ex.menyer,dialogrutor,ikoneretc. somärassocieradmedfilen.fördelenmedatt användaenresursgaffelärattdetmöjliggör egenskapersommenyerochdialogerpåolika språk.ettexempelpåenmacosxfilären vanligword fildärsjälvatextenliggeri datagaffelnocheventuellabilderliggersparade iresursgaffeln.resursgaffelnkanbästjämföras medalternatedatastreamsintfs. Resource fork Resource map Icons Data Fork Menu Figur2.2EnOSXfilhartvågafflar Viktigt! Omenmacintoshfilkopierasövertillettfilssystemsomintestöderresursgafflarsåkommerresursgaffelnatt försvinna. OmmankopierarenmacintoshfiltillenNTFSvolymsåkommerresurgaffelnattförsvinna. C:\macfiles>dir /a Volymen i enhet C har ingen etikett. Volymens serienummer är 8C4B-ABD8 Innehåll i katalogen C:\macfiles :07 <KAT> :07 <KAT> :05 31 losen.txt 1 fil(er) 31 byte 2 katalog(er) byte ledigt 5

10 MacOSXforensics Enintroduktion OvanharentextfilskriveniMacOSXmedenenkeltextredigerareöverförtstillenNTFSvolym. Enlistningvisarbaratextfilen. E:\macfiles>dir /a Volymen i enhet E har etiketten USBMINNE Volymens serienummer är EC9 Innehåll i katalogen E:\macfiles :17 <KAT> :17 <KAT> :05 31 losen.txt : _losen.txt 2 fil(er) byte 2 katalog(er) byte ledigt SammafilkopieradesövertillenFAT32volym.Härsynsenfilmednamnet._losen.txt.Detta ärresursgaffeln.försfilenövertillmacosxigensåkommermacosxatthanteraresursgaffeln ochöppnafilenpåkorrektsätt. AppleMacintoshdatoreranvändersignormaltavtvåpartitionsscheman: 1. ApplePartitionMap(PowerPC) 2. GUIDPartitionTable(Intel) PartitionsschemanskallinteförväxlasmedfilsystemetHFSellerHFS+.Ettpartitionsschemaär beskrivningenomhurenhårddiskellerannanmediaärbeskrivet,lagtutpådiskenförattett filssystemskallkunnaappliceras. Förattundersökastrukturenpådiskenkanmant.ex.användadetinbyggdaverktygethdiutil: Last login: Wed Mar 18 14:00:12 on ttys000 kevin@[~]$ ls /dev/disk* /dev/disk0 /dev/disk0s1 /dev/disk0s2 kevin@[~]$ sudo hdiutil partition /dev/disk0 Password: scheme: GUID block size: 512 _ ## Type Name Start Size + MBR Protective Master Boo Primary GPT Header GPT Header Primary GPT Table GPT Partition Data Apple_Free C12A7328-F81F-11D2-BA EFI system partition Apple_HFS Customer Apple_Free Backup GPT Table GPT Partition Data Backup GPT Header GPT Header synthesized kevin@[~]$ sudo hdiutil partition /dev/disk0s1 scheme: none block size: 512 _ ## Type Name Start Size 6

11 MacOSXforensics Enintroduktion DOS_FAT_32 hel skiva synthesized kevin@[~]$ sudo hdiutil partition /dev/disk0s2 scheme: none block size: 512 _ ## Type Name Start Size + Apple_HFS hel skiva synthesized kevin@[~]$ VerktygetvisarattenhetenanvändersigavettGUIDpartitionsschemamedblockstorlek512 Bytesochinnehållerettflertalpartitoner.Sektor0ärbootsektornmedenstorlekpå1sektor. Sektor1ärdenprimäraGUIDpartitionstabellhuvudetochsektor2t.o.m.32ärGUIDpartition datasombeskriverutseendetpådisken.dessatvåpartitionerfinnssomkopiorislutetav enheten.partitionermedapplefreeanvändssomutfyllnadochkanvaraenplatsattgömma information.denpartitionsomärmestintressantärapple_hfscustomer.envidare undersökningavdennapartitionkangörasmedverktygetdiskutil: kevin@[~]$ diskutil info /dev/disk0s2 Device Identifier: disk0s2 Device Node: /dev/disk0s2 Part Of Whole: disk0 Device / Media Name: Customer Volume Name: Macintosh HD Mount Point: / File System: Journaled HFS+ Journal size KB at offset 0x Owners: Enabled Partition Type: Bootable: Media Type: Protocol: SMART Status: Volume UUID: Total Size: Free Space: Read Only: Ejectable: Whole: Internal: Apple_HFS Is bootable Generic SATA Verified DA337BE8-BE0D-30BF-A273-38A1DC9C Gi ( B) ( byte blocks) Gi ( B) ( byte blocks) No No No Yes Medjournalföringmenasettsättattgenomettregister,logghållaenjournalöverändringarföre skrivningpådisken.fördelenmeddettaäromdatornskullestoppap.g.a.strömavbrottellerav annanorsaksåkommerjournalenattanvändasförattåterställadiskentillettkäntfungerande tillstånd. 7

12 MacOSXforensics Enintroduktion Viktigt! Tänkpåattomdubryterströmmentilldatornunderenforensiskundersökningochsenareväljerattboota enforensisktagenkopiaavenhetenattjournalenkankommaattanvändasförattåterställainformation. Dettaskullekunnageinkorrektinformation. DenendaunikakarakteristikenmedApplespartitionsschemaärattdetfinnsmångaoanvända områdensomkananvändasförattgömmainformation.datakanocksågömmasisektorer mellanolikastrukturerihfs+volymen.givetviskaninformationfinnasifilersslackutrymme precissommedandrapartitionsscheman.följaktligensåskerenforensiskundersökningaven HFS+volympåsammasättsommedandrafilsystem.Verktygsomföljermedt.ex.Sleuth kitt.ex. mmlsochvanligahex editorersamtandraforensiskaverktygsomkännertillfilsystemetkan användas. 2.3 Andrafilsystem Den6juni2005meddeladeSteveJobs,VDförAppleattdeskulleövergåfrånattanvända PowerPCprocessorerisinadatorertillattanvändaprocessorerfrånIntel.Användningenav Intel processorertillsammansmedverktygetbootcamp 5 gördetmöjligtattköraandra operativsystemutanvirtualisering.därförärdetinteovanligtidagattdetfinnsandra partitionersomt.ex.fat32,ntfs,efspåenmodernmac.dettaärviktigtatttänkapåinnanman börjarmedenforensiskundersökningochförvärvavhårddisk. 2.4 MacOSXkatalogstruktur Fördenvanligaanvändarensåärmycketavdenunderliggandekatalogstrukturenisystemet somstandardgömt.manpresenterasförattgrafisktgränssnittförattkommuniceramed underliggandetjänster.applehargjortdetsåförattanvändaresominteharsåmycketkunskap inteskallställatillmedproblem.förattsedenunderliggandekatalogstrukturensåkanman användasigavterminalen. Tittarmanirotenavsystemetgenomdetgrafiskagränssnittetsåkommermant.ex.presenteras avföljande: 5 Hjälpmedel,partitioneringsverktygförattinstalleraandraOSpåenMac.IngåriLeopard10.5 8

13 MacOSXforensics Enintroduktion Figur2.3Synligkatalogstruktur Listarmanrootiterminalensermanföljande: ls -1a....DS_Store.Spotlight-V100.Trashes.bashrc.com.apple.timemachine.supported.fseventsd.hotfiles.btree.vol Användarhandböcker och information Applications Desktop DB Desktop DF Developer Library Network System Users Volumes bin cores dev etc home mach_kernel mach_kernel.ctfsys net private sbin tmp usr var 9

14 MacOSXforensics Enintroduktion Somsynessåfårmantillträdetillflerkatalogergenomattanvändasigavterminalen.Nedan följerenkortbeskrivningavvanligamacosxkataloger,dessinnehållochfunktion. Katalog Beskrivning / Rootkatalogen,föräldertillallaandraunderliggandekataloger. /Applications Ärganskasjälvbeskrivande.Innehållerdatornsprogram. VisarsignärmaninstalleratAppleDeveloperToolsochinnehåller /Developer utvecklingsverktyg,dokumentationochfiler. Deladebiblioteksfiler,filernödvändigaföroperativsystemetsfuntion.Innehåller /Library inställningarförglobalaprogramochsystem. /Network Nätverksrelateradedrivrutiner,servrarochbibliotek. /System Systemrelateradefiler,biblioteketc.KritiskförMacOSXfunktionalitet. /Users Allaanvändarkontonochderasunikafiler,inställningaretc.Påminnerom/homei Linux. /Volumes Monteradeenheterochvolymersomt.ex.CD,DVD,HDD,DMG,ISOetc. Nödvändigavanligabibliotek,innehållerprogramochfilersombehövsförattstarta /bin systemetochförattsystemetskallfungerarätt. Maskinenslokalasystemkonfiguration,innehålleradministrativa /etc konfigurationsinställningarochandrasystemfiler. /dev Enhetsfiler,allafilersomrepresenterarhårdvaraiellerkopplattilldatorn. /usr Innehållerunderkatalogermedinformation,konfigurationsfilerochandra nödvändighetersomanvändsavoperativsystemet. /sbin Innehållernödvändigasystembinärerochverktygförsystemadministration. /tmp Innehållertemporärafiler,cacharetc. /var Innehållerföränderligdata.Filersomförändrasundertidensystemetkörs.Man hittart.ex.loggfilerförsystemetunder/var/log. Tabell1:MacOSXkatalogstrukturochbeskrivning 10

15 MacOSXforensics Enintroduktion Användarnashemmakatalog Enanvändarehemmakatalogtillsammansmedsystemloggarochinställningsfilerärtroligendet somgerdenmestvärdefullainformationunderenutredning. Enanvändareshemmakataloginnehållerstandardkatalogerochkatalogerspecifikatillt.ex.ett installeratprogram.hemmakatalogeninnehållert.ex.följandekataloger: Desktop,innehållerallafiler,genvägaretc.somliggerpåanvändarensskrivbord. Documents,innehållerprogramspecifikadokument.Dokumentfrånt.ex.Word,Pages, Keynote,Excelsparasomstandardunderdennakatalog. Library,underdennakataloghittarmanmycketinformation.Innehållerloggar, inställningar,webbläsarhistorik,senastefileretc.ennärmarebeskrivningföljersenarei arbetet. Movies,innehållertypisktiDVDfilmdata,Quicktime filmerochandradigitalavideo material. Music,innehållertypisktanvändarensiTunesmusikbibliotek,menävenandramusiks relateradefiltypersomt.ex.mp3 filer. Pictures,innehållersomnamnetantyderbilder.iPhotobiblioteketbrukarnormaltsett sparasidennakatalog. Public,ärenstandardkatalogdäranvändarekanläggatillochläsafiler.Användarnakan somstandardinteraderfileridennakatalog.ommaninteärägarenförstås.används mestiutdelningssyfteinätverk.jmf.minadeladedokumentiwindowsmiljön. Sites,ommanharaktiveratdeninbyggdaWWW,apacheservernsåhittarman användareswebbsidaunderdennakatalog Användarbiblioteket Användarbiblioteketkommerattinnehållamängdermedinformationsomt.ex. användarspecifikadrivrutiner,typsnitt,inställningarochsystemtillägg.informationsomär vikigtförenforensiskutredningsomt.ex.webbläsarhistorik,e postfiler,e postbilagoretc. Någravanligakatalogerochdessinnehållär: ApplicationSupport Härhittarmankatalogerochfilersomhärstammarfrån programinstallationer.omenanvändareraderarettprogramfrånsindatorsåkommer katalogerochinformationliggakvarhärommaninteanvänderspeciellas.k. avinstallationsprogram.etttypisktgratissådantprogramärappcleaner 6.Mycket informationsomkanhastorviktienutredningkanfinnasidennakatalog. Automator Användarspecifikahändelseskript.Dessaskriptkaninnehållainformation omt.ex.automatiseradefilkopieringar,serveranslutningaretc. Caches Härkanmanhittamyckethistoriskinformation.Innehålletidennakatalogär bl.a.informationomanvändningavprogram,besöktawebbplatser,ev.imkompislistor,

16 MacOSXforensics Enintroduktion nedladdadefileretc.denhärkatalogenbörundersökanoggrant.programsomär borttagnafråndatornkanlämnakvarinformationidennakatalog. Cookies AnvändsfrämstavwebbläsaresomdeninbyggdaSafari.Innehållerhögst troligtvisenfilmednamnetcookies.plist.meroms.k.plistfilerföljersenareiarbetet. Favorites Innehållerinformationomfavoriterförfunktionen Ansluttillserver i Finder. Logs Innehållerloggfilerochinformationomanvändningtillhörandeettflertal program. MailochMailDownloads Innehållere postmapper,filer,kontoinformation,regler, signatureretc.förprogrammetmail.standarde postklientundermacosx. Phones Innehållerinformationomtelefonersomharvaritanslutnatilldenne användareskontoochdator.specifikinformationomtelefonerkanhittasunderfilen Indo.plist(IMEI,Modellnamnetc.) RecentServers Härhittarmaninformationomserveranslutningarsomgjortsnyligen. (AFP,FTP,SMBetc.) Safari InnehållerinformationomstandardwebbläsarenSafari.Innehållsomt.ex. bokmärken,historikochnedladdningshistorikfinnshär. Detfinnsförutomdeovannämndaettflertalandrakatalogermedinformation.Detärviktigtatt underenutredningtittaigenomanvändarensochsystemetsbibliotekskatalog.väldigtmycket intressantinformationkanhittasidessaplatser. 2.6 Programochteknologier MacOSXharettflertalrobustatjänstersomliggerbakomdetgrafiskagränssnittet. Automatiseringavuppgifterärlättgenombl.a.shell,Applescriptochgenomprogrammet Automator.Automator 7 ärettpeka och klickaprogramsomgördetenkeltattautomatisera uppgifter.medmacosxsåmedföljerbl.a.perl,pyhton,php,apachehttpserverm.fl.nedan beskrivsnågravanligaprogramochtjänsterimacochdessanvändningsområde. Viktigt! EttprogramiMacOSXharfiländelsen.app.Programmenärs.k.paketsomegentligenbaraärenmapp. Flyttasprogramfilenövertillt.e.x.Windowssåkommermansehelamappstrukturen.Dettakanocksågöras undermacgenomatthögerklicka(ctrl klicka)ochsedanvälja Visapaketetsinnehåll.Informationkant.ex. varagömtiettprogrampaket Bonjour(Rendezvous) ärenteknologisomutvecklatsavappleochäretts.k.noll konfigurationsnätverk.gördet möjligtattautomatisktupptäckaandradatorerochenheteriettnätverk.bonjourärinstallerad somstandardiosx10.3ochsenare

17 MacOSXforensics Enintroduktion FileVault MedFileVaultsåsäkraranvändarensinhemmamappgenomkryptering.Krypteringenbestårav 128bitarsAESochskerautomatisktibakgrunden.TillskillnadmotWindowsVistasBitlockerså ärdetendastanvändarenshemmamappsomkrypterasimacosx.filevaultärintepåslaget somstandardmenanvändarenkanaktiveratjänstengenomsysteminställningar Säkerhet FileVault. OmFileVaultäraktiveratsåkommerhelahemmamappenattläggasinienkrypterad sparseimagefilmednamet:användarnamn.spareimageianvändarenshemmakatalog.en sparseimagefilärenvanligdmg fildärstorlekenärdynamisk(växervidbehov).endmg filär MacOSXskivavbildsformat. Förattkommaåtenannananvändareskrypteradehemmamappsåmåstemanha administrationsrättigheterochförattkommaåtinnehålletihemmamappensåmåstemanha användarenslösenordellerhuvudlösenordetomettsådantäraktiveradimacosx säkerhetsinställningar. Förattkopieraenanvändareskrypteradehemmamappsåkanmangöraföljande: 1. Öppnaettshelliterminalenmedrooträttigheter:sudo sh 2. Kopierafilentillönskadmapp:cp /Users/kevin/kevin.sparseimage /Bevis Taägarskapavfilen:chown användarnamn /Bevis-001/kevin.sparseimage 4. Låsfilensåattingaändringarkangöras:chflags uchg /Bevis- 001/kevin.sparseimage Studerarmandenkrypteradefilensåkommermaninteseannatänrabarbersoppa.Dockkan detvaravärtattnämnaattenkrypteradhemmamappharföljandesignaturifilhuvudet: encrcdsa FilenkansedanmonterasiMacOSXgenomattdubbelklickapåfilen.Vidlyckadmonteringså kommermanpresenteradförendialogrutamedförfråganomanvändarenslösenordtill hemmamappen. Detfinnsettprogrammednamnetvfcrack 8 somkanvaratillhjälpförattknäckafilevault Spotlight SpotlightärindexeringsmotornochsöktjänsteniMacOSXsomanvändsföratthållaredapå filerochdessmetadata.endoldfilmednamnet.spotlight-v100skapasirotenochinnehåller indexeringsdata.spotlightärsomaktiveradsomstandardochindexerarsomstandardföljande platser: Allahemmakataloger Documents,Movies,MusicandPictureskatalogerna Papperskorgenförallamonteradevolymerochanvändare

18 MacOSXforensics Enintroduktion ~/Library/Metadata/ ~/Library/Caches/Metadata/ ~/Library/Mail/ ~/Library/Caches/com.apple.AddressBook/Metadata/ ~/Library/PreferencePanes/ /Library/PreferencePanes/ /System/Library/PreferencePanes/ /Applications Användarnakanocksåmanuelltläggatillplatsersomdetyckerskallindexerasförsnabb sökning,åtkomst.spotlightkommerocksåautomatiskattindexeraexternlagringsmedia(usb, FireWire)närdessakopplasinisystemet. Viktigt! Omdatorninnehållerfleraanvändarkontonsåkommerallafilersomliggeröverstianvändarens hemmakatalog(överstikatalogstrukturen)ocksåattindexeras.dessafilerkanmansökapåmendekaninte ändras.filersomfinnsinomdesktop,documents,library,music,moviesochpictureskommerinteatt indexerasellerkunnasökaspåfrånenannananvändareskonto. TvåanvändbaraterminalverktygförarbetamedSpotlightindexär: mdfind,ettterminalverktygföratthittafilergenomspotlightindex. mdls,visarmetadataförengivenfil Somexempelpåanvändningsåprovarjagiterminalenattsökadettadokument: mdfind DT2005_MacOSX /Users/kevin/Documents/Microsoft användardata/office 2008 AutoRecovery/AutoRecovery save of DT2005_MacOSX_forensics_Kevin_Lund.docx /Users/kevin/Documents/Utbildning/Högskolan Dalarna/DT Kriminalteknisk datavetenskap II/Projekt/DT2005_MacOSX_forensics_Kevin_Lund.docx kevin@[~]$ mdls ~/Documents/Utbildning/Högskolan\ Dalarna/DT2005\ -\ Kriminalteknisk\ datavetenskap\ II/Projekt/DT2005_MacOSX_forensics_Kevin_Lund.docx kmditemauthors = ( "Kevin Lund" ) kmditemcomment = "Rapport för tentamensprojekt i DT1012-Nätverkssäkerhet" kmditemcontentcreationdate = :11: kmditemcontentmodificationdate = :50: kmditemcontenttype = "org.openxmlformats.wordprocessingml.document" kmditemcontenttypetree = ( "org.openxmlformats.wordprocessingml.document", "org.openxmlformats.openxml", "public.zip-archive", "com.pkware.zip-archive", "public.data", "public.item", "com.apple.bom-archive", "public.archive", "public.composite-content", 14

19 MacOSXforensics Enintroduktion "public.content" ) kmditemdisplayname = "DT2005_MacOSX_forensics_Kevin_Lund.docx" kmditemeditors = ( "Kevin Lund" ) kmditemfscontentchangedate = :50: kmditemfscreationdate = :11: kmditemfscreatorcode = "MSWD" kmditemfsfinderflags = 0 kmditemfshascustomicon = 0 kmditemfsinvisible = 0 kmditemfsisextensionhidden = 0 kmditemfsisstationery = 0 kmditemfslabel = 0 kmditemfsname = "DT2005_MacOSX_forensics_Kevin_Lund.docx" kmditemfsnodecount = 0 kmditemfsownergroupid = 20 kmditemfsowneruserid = 501 kmditemfssize = kmditemfstypecode = "WXBN" kmditemkind = "Microsoft Word-dokument" kmditemlastuseddate = :50: kmditemorganizations = ( "Ho\U0308gskolan Dalarna" ) kmditemsubject = "Nätverkssäkerhet" kmditemtitle = "Tentamen" kmditemuseddates = ( :00: , :00: , :00: , :00: , :00: , :00: ) Ovansynsmetadataförfilen,datumendåfilenanvänts,namnetc.Imittfallsåsynsdetganska tydligtattjaganväntmigavenmallsomjagkopieratintexttill:tentamensprojektetikursen Nätverkssäkerhet.Filenskapades :11: Finder FinderärMacOSXfilhanterare.Programmetvarenavdeförstagrafiskafilhanterarnaochhar varitenförebildtillwindowsanvändarnas Utforskaren DiskArbitration DiskarbitrationärenbakgrundstjänstiMacOSXsomhanterarmonteringavfilsystem.Denhär tjänstenkommerautomatisktattmonteraochvisaeninkoppladenhetsomt.ex.enexternusb hårddisk.diskarbitrationkommerattmonteravolymermedläs ochskrivrättighetervilketinte ärönskvärtiforensisktsyfte.närmananvänderenmacosxdatorförattundersökaen misstänktsdatorsåbördennatjänstvaraavstängd.observeraattntfsvolymerendastkommer 15

20 MacOSXforensics Enintroduktion attmonterasmedläsrättigheteromintemacfuse 9 ellerparagaonntfsformac 10 ellerannan liknandetjänstärinstalleradpåsystemet. FörattaktiveraelleravaktiveraDiskArbitrationunderMacOSXgörföljande: 1. Taensäkerhetskopiaavfilen/etc/mach_init.d/diskarbitrationd.plist sudo cp /etc/mach_init.d/diskarbitrationd.plist /Backup/ 2. Radera/etc/mach_init.d/diskarbitrationd.plist sudo rm /etc/mach_init.d/diskarbitrationd.plist 3. StartaomsystemetochDiskArbitrationskallvaraavstängd. 4. FörattaktiveraDiskArbitraionigensåkopieratillbakadensäkerhetskopierade originalfilentillbakatillursprungligplats. sudo cp /Backup/diskarbitrationd.plist /etc/mach_init.d/ 5. Startasedanomsystemet! FörmerainformationomDiskarbitrationsemansidanunderbilagor AddressBook AdressbokenärenapplikationsomföljermedMacOSXsomstandard.Användsavanvändaren förattlagranamn,adresser,telefonnummer,im alias,hemsideinformationetc.adressbokenär ocksåtättintegreradmedandraapplikationersomt.e.x.mail&safari. Merainfokanhittas: ~/Library/Address Book Plug-Ins ~/Library/Application Support/AddressBook ical Ärdetmedföljandekalenderprogrammet.iCalärettenkeltprogramochanvändasganskaflitigt avmacanhängarna.icalkanocksåsynkroniserasmedonlinetjänstenmobileme.användarna kanocksåpublicerasinakalendraronlineförandraattse. Informationomkalendrarkanhittashär: ~/Library/Calendars Mail Ärdenmedföljandeochpopulärae postklienten.mailärtättintegreradmedadressbokenoch hållerocksåredapåmottagnaochskickadee postadressersomintefinnsadressboken.regler kanskrivasochprogrammetharenenkelskräpposthanterare.mailharstödförflerakontonoch POP3&IMAP software.com/home/ntfs mac/ 16

21 MacOSXforensics Enintroduktion Informationkanhittaspåföljandeplatser: ~/Library/Preferences/com.apple.mail.plist ~/Library/Mail/ ~/Library/Mail-attachments/ Mac&MobileMe.macellerMobileMesomdetnumeraheterärentjänstsomköpsitilläggavApplesomger användarnatillgångtillmailmedupptillfemaliasadresser.tjänstenärtättintegreradmedmac OSXochanvändsförbl.a.säkerhetskopieringonlineidetmedföljande20GBlagringsutrymmet. MobileMetillåtersynkningavadressbok,Safaribokmärken,iCalkalendrar,nycklar, webblösenord,certifikatetc. Enbraidéärattgåigenominformationhäromtjänsteninhandlatsavdatorägaren.Brukarspara enplistfilunder~/library/preferencesmedinformationsynkning,namnetc Nyckelhanteraren ÄrAppleslösenordshanteringssystem.Innehållerbl.a.lösenordtillwebbplatser,FTPservrar, SSHkonton,nätverksutdelningar,krypteradeenheter,privatanycklar,certifikatetc. IMacOSXsparasnormaltkeychain filerpåföljandeplatser: ~/Library/Keychains/ /Library/Keychains/ /Network/Library/Keychains/ Nyckelhanteringsfilensomanvändssomstandardärlogin.keychainochfinnsunder hemmakatalogen.dennafilärdensomladdasinautomatisknärenanvändareloggarini systemetmedsittlösenord Safari ÄrwebbläsarensomföljermedsomstandardiMacOSX.DenanvändsganskaflitigtavMac användarnamenävenandrawebbläsaresomt.ex.firefox&operaärpopulära. Safarifrånochmedversion3använderprecissomsenareversioneravFireFox,SQLitefilerför attsparanercacheochhistorik.safarispararnerwebbformulärlösenordikeychain. Merinformationkanhittas: ~/Library/Preferences/com.apple.Safari.plist ~/Library/Caches ~/Library/Safari Frånommedversion3.1.1sparaswebbcachepåföljandeplats: /private/var/folders 17

22 MacOSXforensics Enintroduktion Programförsnabbmeddelanden DetfinnsmångaprogramförsnabbmeddelandenpåMac.DetprogramsommedföljerMacOSX heterichatochharstödförföljandeprotokoll: AOL, ICQ, JabberochGoogleTalk Bonjour,.Mac(MobileMe) AndraIM programärbl.a.aolinstantmessenger,adium,microsoftmessenger,skypem.fl. MSNprotokolletärdetprotokollförsnabbmeddelandesomärpopulärastiSverige.Program somstöderdessaärgivetvisdemestpopulära.desomfallerinidenkategorinärmicrosoft MessengerochAdium. MicrosoftMessengerspararnerinformationombl.a.historikochdataförklientenunder ~/Documents/Microsoft userdata/ Adiumsparariställetnerinformationunder:~/Library/Application Support/Adium 2.0/ 18

23 MacOSXforensics Enintroduktion MacOSXloggfiler MacOSXskaparprecissomLinuxochandraUnixsystemmångaloggfiler.Vissaloggfilerär väldigtdetaljerademedanandraäravliteintresseienforensiskundersökning.nedanföljer någraloggfilersomkanvaraavintresseförattetableratidslinje,handlingaroch konfigurationer. Loggfil /var/log/crashreporter.log /var/log/cups/access_log /var/log/cups/error_log /var/log/daily.out /var/log/samba/log.nmbd /var/log/appfirewall.log ~/Library/Logs Beskrivning / Innehåll Innehålleranvändningshistorik,informationskrivstilldennafilnärett programkraschar. Informationomskrivaranslutning. Informationomskrivaranslutning. Historikövernätverksinterfaceochdiskstorlek. InformationomanslutningartillSambaenheter(Windowsbaserade enheter). Informationombrandväggstrafik. Pådennaplatsfinnsprogramspecifikaloggar. ~/Library/Logs/DiscRecording.log InnehållerenloggöverCD/DVDmediasomärutbräntmedFinder. Innehållerenloggövermonterade,avmonteradeISOochDMGfiler, ~/Library/Logs/DiscUtility.log partitionsinformationomhd,reparationeravbehörigheteretc. InnehållerinformationöverförflutnaiChatanslutningsförsök.Man ~/Library/Logs/iChatConnectionErrors hittardatasomt.ex.användarnamn,ip adresserochdatumsamttid förförsöket. Innehållerinformationöverev.MobileMesynkning,mobilaenheter ~/Library/Logs/Sync somt.ex.ipodsochmobiltelefoner,tidochdatumförhändelsen. Tabell2:VanligaloggfileriMacOSXochdessinnehåll(Kubasiak, 2007) 19

24 MacOSXforensics Enintroduktion PropertyListFormatFile(.plist) MacOSXochallaandraMacOSversioneranvändersiginteavettregistersomMicrosoft Windowsanvändersigav.Iställetanvändss.k.plist filerförattsparanerinnehåll.plistären förkortningför PropertyListFormatFile.Innehålletienplist filärbinärtxmlformatochkan inteläsasmedenvanligtexteditor. Detfinnsettflertalspeciellaverktygförattbehandlaplist filerpåenmac.dessakanladdasner frånt.ex.macupdateellerversiontracker.tillsammansmedxcodesomärapplesmotsvarighet tillmicrosoftsvisualstudiosåföljerdetmedocksåmedenplist editor.ettinbyggtanvändbart terminalverktygförattbehandlaplist filerärplutil. sudo plutil -convert xml1 -o ~/Desktop/SystemVersion.xml /System/Library/CoreServices/SystemVersion.plist Ovanståendeexempelvisarentypiskanvändningavverktyget.Idettafallsåkonverteradejag filensystemversion.plisttillxml fil(systemversion.xml)tillskrivbordet.xml filenkansedan öppnasmedenvanligtexteditorellerannatverktygförattbehandlaxml filer.innehålletifilen är: <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" " <plist version="1.0"> <dict> <key>productbuildversion</key> <string>9g55</string> <key>productcopyright</key> <string> Apple Inc.</string> <key>productname</key> <string>mac OS X</string> <key>productuservisibleversion</key> <string>10.5.6</string> <key>productversion</key> <string>10.5.6</string> </dict> </plist> Detärenkeltattskrivaettshellskript,AppleskriptelleranvändasigavAutomatorföratt automatiseradennaprocess.vanligaprogramochsystemetsparagenerelltsinainställningari plist filer.detfinnsmångaplist filerochdessafårundersökasfrånfalltillfallmennågra intressantaär: 20

25 MacOSXforensics Enintroduktion Fil /System/Library/CoreServices/System Version.plist /private/var/log/osinstall.custom /private/etc/hosts Beskrivning / Innehåll InnehållerversionsinformationominstalleratOS. Ingenplist filmeninnehållerinformationomdatumochtiddåos varinstallerat(avslutadinstallation). Ingenplist filmeninnehållerinformationomdefineradeip adresser ochdessassocieradenamn. Tabell3:Plist filerochandraviktigainformationsresurser Fil (~/Library/Preferences/) AdressBookMe.plist com.apple.bluetooth.plist com.apple.dashboard.plist Beskrivning / Innehåll Innehållerdatasomanvändarensjälvskrivitinomsigsjälvi Adressboken. InformationomenhetersomharvaritanslutnaviaBluethooth.Visar ocksåsenastedatumochtidföranslutningen. Informationominstallerades.k.Widgets. com.apple.dock.plist com.apple.finder.plist com.apple.grab.plist Informationomprogramtillgängligaidockan. Informationomsenasteöppnademappar,senasteserveranslutningar frånfinderochsenaste Gåtillmapp valet. Informationomsenastemappsomlästsin. com.apple.mail.plist InformationomMail.appochdessinställningarsomt.ex.kontonamn ochvarte postenliggerlagradpådisken. com.apple.networkutility.plist Informationomnätverksuppslagningarsomt.ex.Whois,Pingochport scans. Senastedokumentensomöppnatsmedprogrammet com.apple.prewiew.bookmarks.plist Förhandsgranskning. com.apple.print.printcenter.plist Informationomsenasteanslutnaskrivare. com.apple.quicktimeplayer.plist com.apple.safari.plist com.apple.sidebarlists.plist com.apple.systemuiserver.plist com.apple.scheduler.plist com.apple.recentitems.plist InformationomsenasteuppspeladefilmeriQuicktime. InformationomSafarihistoriksomt.ex.senastesöktermer,senaste öppnadelokalafileretc. Innehållerhistoriskinformationomnuvarandeochförgåendeobjekt somharvisatsifindersidebar. Informationom egna menyersominstalleratsavanvändaren.kan varaanvändbartommanvillsedetsomkörsnäranvändarenloggarin. Informationomschemalagdaautomatiskahändelsersomt.ex. SystemuppdateringellerMobileMesynkning. Informationomsenasteanvändaprogram,filerochserveranslutningar. Tabell4:Någraplist filermedintressantinformation. 21

26 MacOSXforensics Enintroduktion Informationsförvärv Nedankommerjagattbeskrivatreolikametoderförattpåettforensisktsättfåtillgångtilldata påenmisstänktsdator.tvåavteknikernakommerattinnebäraattanvändamåldatorndirekt ochetttredjesättgenomanvändingavytterligareendator.detreolikateknikernärsingleusermode,livecdochtargetdiskmode(firewirediskmode).ytterligareettsättattfå tillgångtillinformationurenmåldatorärattfysisktplockauthårddiskenurdatorn. 3.1 MacOSBootkommandon Detfinnsmångaolikatangentbordskommandonundersomorsakarolikahandlingarvidbootpå Mac.AllakombinationerfungerarintemedallaMacdatorer.Nedanärnågrakommandonoch dessfunktion: Funktion Förbigåstartskivanochbootafrånen externenhet(hd,cd,dvd) BootafrånenCD/DVD C Tangentbordskombination CMD ALT SHIFT DELETE BootafrånenspecifikSCSIID Matautdiskett(FloppyDisk) Väljenenhetattbootafrån CMD ALT SHIFT DELETE # Hållneremusknappen ALT StartaiTargetedDiskMode T OSXVerboseMode OSXSIngle UserMode OpenFirmware ALT V ALT S CMD ALT O F 3.2 Single usermode Tabell5:MacOStangentbordskombinationervidboot. Single usermodeärenavdebästaverktygeninommacintoshforensiskautredningar.dethär lägetioperativsystemetärursprungligentänktföradministratörerattpåettlättsättunderhålla datorn.isingle usermodekrävsdetkunskapomunixdåmankommuniceramedosenbart genomenterminal.isingle usermodesåkommermanattvararootpåsystemet. Viktigt! EnavanceradanvändarekanhaavaktiveratSingle usermode.omettförsökattbootaomisingle usermode intelyckas.antecknadettaiutredningsrapporten. EfterbootiSingle Usermode(seovan)såpresenterasmanfårettterminalfönsterdärmanär inloggadsomroot användare.mankanorsakamycketskadaommanintevetvadmangöri dettaläge.filsystemetärmonteratmedendastläs rättigheter.förattmonterafilsystemetmed skrivrättighetersåkanmananvändasigavkommandot:/sbin/mount -uw / 22

27 MacOSXforensics Enintroduktion Följandekommandonärickedestruktivaochkananvändasförattsamlaininformationunder enutredning: date Datummednuvarandetidszon. date u DatumiUTC hdiutilpartition/dev/disk0 Visarpartitionstabellenöverboot enheten hdiutilpmap2/dev/disk0 Visarytterligareinformationompartitionstabellenför boot enheten. ls/dev/disk? Listaraktivaenhetsfilerfördeinstalleradeenheterna. system_profilersphardwaredatatype VisarinfoomMacintoshhårdvara system_profilerspsoftwaredatatype VisarsysteminformationomOS system_profilerspparallelatadatatype VisarinfoomATAenheter system_profilersphardwareraiddatatype VisarinfoomhårdvaruRAID system_profilerspmemorydatatype Visarinfoominstalleratminne system_profilerparallelscsidatatype VisarinfoomSCSIenheter system_profilerspsasdatatype VisarinfoomSAS(SerialAttachedSCS)enheter system_profilerspserialatadatatype VisarinfoomSATAenheter 3.3 LiveCD FördelenmedattanvändaenBootCDärattsystemetochmjukvaraärdensammaförvarjegång manstartar.detärdockviktigtattpåpekaattallabootcdintefungerarmedallamacdatorer. Mankan,ommanharkunskapenattskapaenegenBootCD. AttbootafrånenLiveCDärenganskaenkelprocess.Startaommedskivaniochhållinne alt tangenteneller C.DetfinnsotroligtmångaLinuxdistributionerochattingåendebeskriva användningenavdessaliggerutanförramenidettaarbete.enenkelsökningiensökmotorför MacLiveBootCD,Knoppix,Ubuntuetc.ärettsättatttaframnödvändiginformation.Dockskall manvaramycketobservantmedvilkenlivecd,linuxdist.manväljer.detäravytterstaviktatt manvetvadsomhändernärmanstartarfrånskivansåattpotentiellviktiginformationinte förändras.linuxdistenskallhastödförefi,of,hfs/hfs+ochbörinteautomatisktmontera filsystemet. NågraexempelpåLinuxdistributionersomfungerarmedMacär: IntelMac UbuntuLiveCD IntelMac HelixLiveCD IntelMac BacktrackLiveCD PowerPCochIntelMac BBTMacquistionCD Fleradistributionerfinnsmedallsäkerhet.Användvalfrisökmotorföratthittamerainfo.BBT (BlackbagTechnologies)erbjuderenprenumerationpåenforensiskgodkändMacBootCD. MerainfoomBBTochMacquisitionkanhittashär: 23

28 MacOSXforensics Enintroduktion TargetDiskMode DentredjemetodenärTargetDiskModeellerFirewireDiskModesomdetocksåkallas.Denna metodärdenmetodsomerbjudermestflexibilitet.dukant.ex.användaenlaptopellerstationär datormedvalfrittosförattundersökamåldatorn.manskalldocksetillsåattauto mountpå undersökningsdatornäravslaget.observeraattdetinteärsäkertatttdmfungerarpå måldatorn. TargetDiskModeärenteknologisomtillåterenMacintoshdatorattagerasomenextern, firewireenhet.datornkommerinteattmodifieradataellerfilsystemominteanvändaren uttryckligenvilldet. Viktigt! TargetDiskModefungerarendastpåinternaATAenheter.TDMkommerendastattanslutatilldenATA enhetsomärangivensommasterpåultraatabussen.tdmkommerinteattanslutatillata slavar,atapi ellerscsienheter.mankanmedandraordintefåtillgångtillallainternaenheteromdetfinnsfleränen installerade.användex.livecdomdetmisstänksattdatorninnehållerflerainternaenheter. FörattanvändasigavTDMochtaenforensiskskivabildavenhetensåanvändföljandesteg: 1. SetillsåattdetOSsomanvändspåundersökningsdatorninteharauto mountpåslaget. OmenMacanvändssåavaktiveraDiskArbitration.(seovan) 2. Setillattmåldatornäravstängd.OmenlaptopärmåldatornsetillsåattAC adapternär inkopplad. 3. KopplaihopmåldatornmedundersökningsdatornmedenFireWirekabel. Undersökningsdatornbehöverintevaraavslagen. 4. Startamåldatornochomedelbarthållinne T knappentillsenfirewiresymbolvisas. 5. PåundersökningsdatornöppnaettterminalfönsterochletauppdenanslutnaTDM datornt.ex.ls /dev/disk? 6. TaenMD5summapåenheten:md5 /dev/disk1 > /Bevis/targetMac_start.md5 7. Använddetinbyggdaverktygetddföratttaenskivavbild:dd if=/dev/disk1 conv=noerror,sync of=/bevis/targetmac.ddsetillsåattutrymmefinns! 8. TaennyMD5summa:md5 /dev/disk1 > /Bevis/targetMac_end.md5 9. Stängavmåldatorngenomatthållainneströmknappen. 10. Kopplabortkabeln. 24

29 MacOSXforensics Enintroduktion FysiskurplockningavinternHD AttplockabortdeninternahårddiskenkanpåenMacintoshvaraenkompliceraduppgift.Vissa Macdatorerkanupplevassomomdemerellermindreärsvetsadeihop.SidaniFixit 11 visarmed detaljeradebilderpåhurmanplockarisärolikamacmodeller.andrakällorföratthitta informationomhurmanplockarisärenmacutanattförstöradenärbl.a.youtube. Viktigt! KomihågattanvändaenfysiskskrivspärrpåHDinnandenundersöks. 3.6 Liveundersökning Enliveundersökningavendatorinnebärattsparanerallflyktiginformationavvikt.Eftersom MacharinbyggtstödförbådePerlochPythonärdetmyckettroligtattdeskriptskrivnaför Linux/UnixidettaändamålkommerattfungeraraktaviMac.Dettabördockiförhand undersökasochbekräftaspåenannanmac.jagskulledockviljatipsaomettprogrammednamn MacLockPickIIfrånSubrosasoftsomunderlättardettaarbete.Programmetfinnsförbåde WindowsochMacochsamlarininformationfrånettflertalolikakällorutankonfiguration. Programmetkanocksåbyggasutmedhjälpavs.k.Plugins. Merinfoomprogrammetkanhittaspåföljandeplatser: _info&cpath=1&products_id=2&zenid=778622c0b02fa36a10156fdc2b2fcf MinnesdumppåenMac VirtuelltminnepåenMacsparasunder/var/vmochhittarenenhetsfilpåminnetunder /dev/mem*påvissamacos.finnsenenhetsfilsåkanenminnesdumpgörasmedhjälpavddpå följandesätt:dd if=/dev/mem of=memdump.img conv=noerror,sync PåallaMacOSsystemsåfinnsdetingenenhetsfilförminnet.MenpåallanyareMac(efter2005) såfinnsdetenfunktionsomkallasförsafesleep.dennafunktionärtänktattanvändasföratt återställadatornomdetskullebliströmavbrottunderdatornsvilolägeellerombatterietpåen bärbardatorärpåvägatttaslut.närdatorngårnedivilolägesåkommerheladatornsminne attkopierasnedtilldisk,okrypterat.innehålletidennafilkommerattkopierasövertillminnet igennärdatornväcksursittviloläge. Dennafilkanmanhittaunder/var/vm/sleepimage.Kopieringavdennafilskerpåsammasätt somovanmedddellerheltenkeltkopierafilen.givetvissåbörmd5ellersha1summartas innanochefterprocessen

30 MacOSXforensics Enintroduktion Bilagor 4.1 MANsidor Diskarbitrationd DISKARBITRATIOND(8) BSD System Manager's Manual DISKARBITRATIOND(8) NAME diskarbitrationd -- disk arbitration daemon SYNOPSIS diskarbitrationd [-d] DESCRIPTION diskarbitrationd listens for connections from clients, notifies clients of the appearance of disks and filesystems, and governs the mounting of filesystems and the claiming of disks amongst clients. diskarbitrationd is accessed via the Disk Arbitration framework. Options: -d Report detailed information in /var/log/diskarbitrationd.log. This option forces diskarbitrationd to run in the foreground. The file /etc/fstab is consulted for user-defined mount points, indexed by filesystem, in the mount point determination for a filesystem. Each filesystem can be identified by its UUID or by its label, using the constructs ``UUID'' or ``LABEL'', respectively. For example: UUID=DF000C7E-AE0C-3B15-B730-DFD2EF15CB91 /export ufs ro UUID=FAB060E9-79F7-33FF-BE85-E1D3ABD3EDEA none hfs rw,noauto LABEL=The\040Volume\040Name\040Is\040This none msdos ro FILES /etc/fstab /var/log/diskarbitrationd.log /var/run/diskarbitrationd.pid /System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist SEE ALSO fstab(5) Darwin July 18, 2004 Darwin 26

31 MacOSXforensics Enintroduktion Plutil PLUTIL(1) BSD General Commands Manual PLUTIL(1) NAME plutil -- property list utility SYNOPSIS plutil [command_option] [other_options] file... DESCRIPTION plutil can be used to check the syntax of property list files, or convert a plist file from one format to another. The first argument indicates the operation to perform, one of: -help -lint Show the usage information for the command and exit. Check the named property list files for syntax errors. This is the default command option if none is specified. -convert fmt Convert the named file to the indicated format and write back to the file system. If the file can't be loaded due to invalid syntax, the operation fails. fmt is one of: xml1, for version 1 of the XML plist format binary1, for version 1 of the binary plist format There are a few additional options: -- Specifies that all further arguments are file names -s Don't print anything on success. -o path Specify an alternate path name for the result of the -convert operation; this option is only useful with a single file to be converted. Specifying - as the path outputs to stdout (only allowed with XML output). -e extension Specify an alternate extension for converted files, and the output file names are otherwise the same. 27

32 MacOSXforensics Enintroduktion InitialDataGathering Dennainformationärhämtadfrån: OperatingSystemInstallationDate /var/log/osinstall.custom OperatingSystemVersion /System/Library/CoreServices/SystemVersion.plist (OS X Client) /System/Library/CoreServices/ServerVersion.plist (OS X Server) LastSoftwareUpdate /Library/Preferences/com.apple.SoftwareUpdate.plist RegistationInformationduringOperatingSystemInstallation /var/db/.applesetupdone CurrentTimeZone /etc/localtime (link file pointing to current time zone) OR /Library/Preferences/.GlobalPreferences.plist Auto LoginUserandLastLoginUser /Library/Preferences/com.apple.loginwindow.plist HomeFolders /Users/username UserAuto LaunchItems /Users/username/Library/Preferences/loginwindow.plist DeletedUsers /Library/Preferences/com.apple.preferences.accounts.plist NetworkSettings /Library/Preferences/com.apple.alf.plist - Firewall Settings /Library/Preferences/SystemConfiguration/com.apple.airport.preference s.plist - Airport (Wireless) Settings /Library/Preferences/SystemConfiguration/com.apple.nat.plist - Internet Sharing Settings /Library/Preferences/SystemConfiguration/com.apple.network.identifica tion.plist - Historical Network TCP/IP Assignments with Timestamps /Library/Preferences/SystemConfiguration/com.apple.NetworkInterfaces. plist - Onboard Interfaces 28

33 MacOSXforensics Enintroduktion /Library/Preferences/SystemConfiguration/com.apple.preferences.plist - Network Configuration for each interface BluetoothHistory /Library/Preferences/com.apple.Bluetooth.plist InstantMessaging /Library/Preferences/com.apple.iChat.AIM.plist /Library/Preferences/com.apple.iChat.plist /Library/Preferences/com.apple.iChat.SubNet.plist /Users/username/Library/Preferences/com.aol.aim.plist /Users/username/Library/Preferences/com.adiumX.adiumX.plist /Users/username/Library/Preferences/com.apple.iChat.AIM.plist /Users/username/Library/Preferences/com.apple.iChat.plist /Users/username/Library/Preferences/com.apple.SubNet.plist /Users/username/Library/Preferences/com.skype.skype.plist /Users/username/Library/Preferences/com.yahoo.messenger3.plist /Users/username/Library/Preferences/com.yahoo.messenger3.Users.screen name.plist PeertoPeer Safari /Users/Library/Preferences/Limewire/* /Users/username/Library/Safari/Bookmarks.plist - User's Bookmarks /Users/username/Library/Safari/Downloads.plist - Contents of the user's Downloads window in Safari /Users/username/Library/Safari/History.plist - Safari browser history /Users/username/Library/Safari/LastSession.plist - defines the last browsing session (window and tabs that were open) LogFiles /var/log/* /Users/username/Library/Logs/* SleepFileandVirtualMemory /var/vm/sleepimage /var/vm/swapfile0 29