HögskolanDalarna 2009 03 23 Projektarbete DT2005 KriminaltekniskdatavetenskapII MacOSXforensics Enintroduktion Namn:KevinLund Pers.Nr:790213 0694 E post:h06kevlu@du.se Kursansvarig HansJones
MacOSXforensics Enintroduktion 2009 03 23 1 Bakgrundochhistorik...1 2 MacOSXenöversikt...1 2.1 Boot processen...1 2.1.1 refit...3 2.2 HFS+ochdessdatastrukturer...4 2.3 Andrafilsystem...8 2.4 MacOSXkatalogstruktur...8 2.5 Användarnashemmakatalog... 11 2.5.1 Användarbiblioteket... 11 2.6 Programochteknologier... 12 2.6.1 Bonjour(Rendezvous)... 12 2.6.2 FileVault... 13 2.6.3 Spotlight... 13 2.6.4 Finder... 15 2.6.5 DiskArbitration... 15 2.6.6 AddressBook... 16 2.6.7 ical... 16 2.6.8 Mail... 16 2.6.9.Mac&MobileMe... 17 2.6.10 Nyckelhanteraren... 17 2.6.11 Safari... 17 2.6.12 Programförsnabbmeddelanden... 18 2.7 MacOSXloggfiler... 19 2.8 PropertyListFormatFile(.plist)... 20 3 Informationsförvärv... 22 3.1 MacOSBootkommandon... 22 3.2 Single usermode... 22 3.3 LiveCD... 23 3.4 TargetDiskMode... 24 3.5 FysiskurplockningavinternHD... 25 3.6 Liveundersökning... 25 3.7 MinnesdumppåenMac... 25 4 Bilagor... 26 4.1 MANsidor... 26 4.1.1 Diskarbitrationd... 26 4.1.2 Plutil... 27 4.2 InitialDataGathering... 28 4.3 MacOSX10.4CommandLineUtilitiesandDaemons... 30 4.4 MacOSXAdminHack... 34 5 Litteraturförteckning... 36 ii
MacOSXforensics Enintroduktion 2009 03 23 iii
MacOSXforensics Enintroduktion 2009 03 23 1 Bakgrundochhistorik Redan1984släppteApplesinförstaMacintoshochvardetförstasystemetsominnehöllett grafisktgränssnitt(gui)somvanligapersonerhaderådmed.ändasedandessharmacintosh ökatipopularitetochharidagenstorskaraanhängare.endelansertillochmedattmacintosh anhängareharskapatnågonsortskult. ItaktmedökadpopularitetblandMacintoshanhängareökarocksåbehovetavattutvinna informationursystemeniettforensisktsyfte.detfinnsendelapplemacintoshdatoreri hemmenochpåarbetsplatsersomanvändersigavgamlamacos.idettaarbetekommerjag dockatttittanärmarepåmacosx10.5(leopard).mycketavinformationenkanocksåtillämpas påliteäldresystemsom10.3och10.4mendettaärintegaranterat. 2 MacOSXenöversikt MacOSXbyggerigrundenpåavAppleuppköptaNeXTochdessoperativsystemNeXTSTEP. NeXTSTEPvarettobjektorienterat,multitaskingUnixOSsombyggdepåMachkärnan tillsammansmedkällkodfrånbsdunix.dessatvådelarutgördagenskärnaiosxmednamnet Darwin. AllaMacOSXversioneranvändersigavdetunderliggandeUnixsystemet.MacOSXärintebara ettgui baseratoperativsystemutandetärocksåkommandodrivetgenomett terminalgränssnitt.dethärgeranvändarnastorflexibilitetochkraft.störredelenav användarskaranhållersighelsttilldetgrafiskagränssnittetmedanmeraavanceradeanvändare gärnaanvändersigavterminalen.mycketavlinuxkällkodkankompileraspåenmacutan störreändringar.detfinnsettprojektkallatförmacports 1 somunderlättarföranvändarenatt kompileraochinstalleraportadeprogram. 2.1 Boot processen Apples,MacintoshsvarpåPCBIOS(BasicInputOutputSystem)ärOpenFirmware(OF)och ExtensibleFirmwareInterface(EFI).OpenFirmwarehittarmanpåMacintoshdatorermed PowerPCprocessorerochEFIpåIntelbaserade. OFellerEFIärteknisktsättinteendelavOSXmendetutgörenvikigdeliApple datorernas funktion.openfirmwareärenöppenickelåst,plattformsoberoendeboot firmwaresomär placeradibootrom 2.OpenFirmwarekananvändasförattskräddarsyboot processensamt användasförattdiagnosera,avlusaochkanävenanvändasförprogrammering.efiärväldigt liktopenfirmware.(amit Singh, 2006) 1 http://www.macports.org/ 2 ÄrimodernaAppledatorer,ettpåmoderkortetplaceratflashEEPROM. 1
MacOSXforensics Enintroduktion 2009 03 23 NärmanslårpåströmmentillenMacintoshdatorsåaktiverasBootROM.BootROMhartvå huvudsakligauppgifter: 1. Initialiseringavhårdvara 2. Väljaettoperativsystemattköra. FörstsåkörsenPOST(Power OnSelfTest)processsominitialiserarendelhårdvaraoch kontrollerarattdetfinnstillräckligtmedminneochattminnetäribraskick.restenav hårdvaraninitialiserasipowerpc baserademacintoshdatoreravopenfirmware.ofbygger ocksåettinitialtenhetsträd 3 ochväljersedanvilketossomskallanvändas.iintel baserade MacintoshdatorersåsköterEFIgrundläggandeinitialiseringochväljersedanvilketOSsom skallaktiveras. OmdetfinnsfleraoperativsysteminstalleradepådatornsåväljerOFellerEFIdet operativsystemsomvaldessenastisysteminställningar(startskiva).förattväljaosattboota ellerstartaifrånsåkanmanhållainnealt tangentenvidstartavdatorn. NärsedanBootROMärfärdigochenMacOSXpartitionpåhårddiskenharvaltssålämnas kontrollenövertillbootx(powerpc)ellerboot.efi(intel).denhuvudsakligauppgiftensombåda dessas.k.boot hanterareharärattladdakärnanochdessmiljö. ManhittarbådeBootXochbooti.efiunder: /System/Library/CoreServices Mankanocksåhittaenkopiaavboot.efiunder: /usr/standalone/i386/boot.efi Vidtillfällendåmant.ex.bootarfrånenUFSvolym,enRAIDvolymetc.såkommerenkopiaav boot hanterarenattfinnaspåenseparathfs+ hjälp volymföratthjälpasystemetattstarta.i vissaversioneravmacosxsåkanmanhittaenkopiaavkärnansamtmkext 4 cachepå hjälpvolymen.isituationersomdessasåkommerinteboot hanterarenochandrakomponenter pårootenhetenattanvändas. Boot hanterarenförsökerförstladdainenför länkadversionavkärnansominnehålleralla enhetsdrivrutinersomärinblandadeisjälvaboot processen.dennaför länkadekärnakanman hittapåföljandeplats: /System/Library/Caches/com.apple.kernelcaches 3 Enhierarkiskrepresentationavenhetersomärassocieradmeddatorn. 4 ÄrettkomprimeratarkivsomspararinformationomenellerfleraKEXT(KernelExtensions)somisintur användsavboot hanteraren. 2
MacOSXforensics Enintroduktion 2009 03 23 Genomattiförväglänkadessadrivrutinerinikärnansåminskasboot tiden.omdetskullevara såattdennacacheskullesaknas,ärföråldradellerkorruptsåkommerboot hanterarenatt försökaladdainsammadrivrutiner,allapåengångiformavettenkelt,komprimeratarkivsom kallasförmkextcache. Skulledetvisasigattocksådennacachepånågotsättvarakorrupt,saknasellerföråldradså kommerboot hanterarenattletaefterdrivrutinerochkernelextensionsunder: /System/Library/Extensions Närnualladrivrutinersomkrävsförattbootaärinladdadekommerboot hanterarenattstarta initialiseringenavkärnan.kärnaninitialiserarmachochbsdstrukturernaochinitialiserar sedani/o.i/okitetlänkardeinladdadedrivrutinernainikärnan.närkärnanhittarrootenhetensåkommerbsdatt rootas utifråndennaenhet.häreftersåtarrootsystemprocessen launchdöverochinitialiserarloginfönstret. 2.1.1 refit AppleerbjuderingaverktygförattfåtillgångtillEFI.EfterBootsåkommermaninteåtEFI.Det finnsdockverktygförattfåtillgångtillefi.ettavdessaverktygärrefitsomkanhittaspå Sourceforge.net: http://refit.sourceforge.net/ DettaverktygmåsteinstallerasochärintedetlämpligasteverktygetattköraunderenLive undersökning.mankandockbootamedenbootbardiskmeddettaverktyginstalleratochsamla inönskadinformation.deninformationmankanfåutrörsigomdatum,tidochlåg nivå information.dokumentationförefiärintedenbästasåandramedelkanskelämparsigbättre föratthittaovanståendeinformation. Ettanvändningsområdefördettaverktygärsomenboot menyidefallmanharflera operativsysteminstalleradepåenheten. 3
MacOSXforensics Enintroduktion 2009 03 23 2.2 HFS+ochdessdatastrukturer FilsystemetHFS+(HierarchicalFileSystemPlus)ochdetäldreHFSärdetvådominerande filsystemsommanhittarpåenmacintoshdator.hfs+ävenkalladhfsextendedellermacos extendedintroduceradesisambandmedattmacos8.1lanseradesi1998.hfs+ärefterföljaren tilldetgamlahfsochgerstödförstörrefiler(blockadressernaär32 bitiställetför16 bit). HFS+stöderfilnamnupptill255teckenUTF 16. EnHFS+volymärindeladisektorersomnormaltär512bytesstora.Dessasektorerärsedan grupperadeiallokeringsblocksomkaninnehållaenellerflerasektorer.normalstorlekpåett allokeringsblockär4kb.hurmångaallokeringsblocksomfinnspåenhfs+volymbestämsav volymstorleken. Reserved Boot Volume header Allocation file Catalog file Extent overflow file Attribute file Startup file Alternate volume header User file forks or free space Figur2.1StrukturenienHFS+volm. DetfinnstotalniostyckenolikastrukturersombyggeruppenHFS+volym: 1. Sektorerna0och1ärBootblockensominnehållerinformationochinstruktionersomär nödvändigaförattstartaupp,bootasystemet. 2. Sektor2beståravVolumeHeaderellerVolymsidhuvudetochinnehållerinformation omhelavolymen.informationenärt.ex.storlekenpåallokeringsblocken,datumochtid närvolymenskapadesochplaceringenavandravolymstrukturersomt.ex.katalogfilen ochextentoverflowfile.volymsidhuvudetfinnsalltidpåsammaplats. 3. Allokeringsfilenhållerredapåvilkaallokeringsblocksomärledigarespektive upptagna.varjeallokeringsblockbeståravenbit.enettaindikerarettupptaget allokeringsblockochennollaettledigt.platsenpådennastrukturkanvariera. 4. KatalogfilenärettB* trädsominnehållerregisteröverallafilerochmapparsomfinns lagradepåvolymen.ettregisterimacosxharstorleken8kib. 5. ExtentOverflowFileärettannatB* trädsomspararinformationomde allokeringsblocksomärallokeradetillvarjefil. 6. AttributfilenärytterligareettB* träd.attributfilenkansparatreolikatyperav4kib register:inlinedataattributerecords,forkdataattributerecordsochextensionattribute records.inlinedataattributeregisterspararsmåattributsomfårplatsinutiregistreti sig.forkdataattributeregistreninnehållerreferensertillmaximaltåttastyckens.k. 4
MacOSXforensics Enintroduktion 2009 03 23 extentssomkaninnehållastörreattribut.extensionattributeregistrenanvändsföratt byggautforkdataattributenärdeåttaolikas.k.extentsredanäranvända. 7. Uppstartsfilen,äravseddföricke MacOSsystemsominteharstödförHFSellerHFS+. 8. Dennästsistastrukturen,detalternativavolymhuvudetmotsvararAlternateMaster DirectoryBlockienHFSvolym. 9. DensistastrukturenärreserveradförApple.Denanvändsunderprocessendådatorn tillverkas. EnfilpåettHFSsysstemhartvås.k.gafflar: 1. Datafork 2. Resourcefork File Enellerbådadessagafflarkanvaratomma. Datagaffelninnehållerinformationprecissom envanligfilinnehållerilinuxellerwindows. ResursgaffelninnehållerdäremotMacintosh resurser,dataiettspecielltformatsom beskrivert.ex.menyer,dialogrutor,ikoneretc. somärassocieradmedfilen.fördelenmedatt användaenresursgaffelärattdetmöjliggör egenskapersommenyerochdialogerpåolika språk.ettexempelpåenmacosxfilären vanligword fildärsjälvatextenliggeri datagaffelnocheventuellabilderliggersparade iresursgaffeln.resursgaffelnkanbästjämföras medalternatedatastreamsintfs. Resource fork Resource map Icons Data Fork Menu Figur2.2EnOSXfilhartvågafflar Viktigt! Omenmacintoshfilkopierasövertillettfilssystemsomintestöderresursgafflarsåkommerresursgaffelnatt försvinna. OmmankopierarenmacintoshfiltillenNTFSvolymsåkommerresurgaffelnattförsvinna. C:\macfiles>dir /a Volymen i enhet C har ingen etikett. Volymens serienummer är 8C4B-ABD8 Innehåll i katalogen C:\macfiles 2009-03-18 17:07 <KAT>. 2009-03-18 17:07 <KAT>.. 2009-03-18 17:05 31 losen.txt 1 fil(er) 31 byte 2 katalog(er) 38 224 609 280 byte ledigt 5
MacOSXforensics Enintroduktion 2009 03 23 OvanharentextfilskriveniMacOSXmedenenkeltextredigerareöverförtstillenNTFSvolym. Enlistningvisarbaratextfilen. E:\macfiles>dir /a Volymen i enhet E har etiketten USBMINNE Volymens serienummer är 3848-8EC9 Innehåll i katalogen E:\macfiles 2009-03-18 17:17 <KAT>. 2009-03-18 17:17 <KAT>.. 2009-03-18 17:05 31 losen.txt 2009-03-18 17:17 4 096._losen.txt 2 fil(er) 4 127 byte 2 katalog(er) 65 179 648 byte ledigt SammafilkopieradesövertillenFAT32volym.Härsynsenfilmednamnet._losen.txt.Detta ärresursgaffeln.försfilenövertillmacosxigensåkommermacosxatthanteraresursgaffeln ochöppnafilenpåkorrektsätt. AppleMacintoshdatoreranvändersignormaltavtvåpartitionsscheman: 1. ApplePartitionMap(PowerPC) 2. GUIDPartitionTable(Intel) PartitionsschemanskallinteförväxlasmedfilsystemetHFSellerHFS+.Ettpartitionsschemaär beskrivningenomhurenhårddiskellerannanmediaärbeskrivet,lagtutpådiskenförattett filssystemskallkunnaappliceras. Förattundersökastrukturenpådiskenkanmant.ex.användadetinbyggdaverktygethdiutil: Last login: Wed Mar 18 14:00:12 on ttys000 kevin@[~]$ ls /dev/disk* /dev/disk0 /dev/disk0s1 /dev/disk0s2 kevin@[~]$ sudo hdiutil partition /dev/disk0 Password: scheme: GUID block size: 512 _ ## Type Name Start Size + MBR Protective Master Boo 0 1 + Primary GPT Header GPT Header 1 1 + Primary GPT Table GPT Partition Data 2 32 + Apple_Free 34 6 1 C12A7328-F81F-11D2-BA EFI system partition 40 409600 2 Apple_HFS Customer 409640 487725344 + Apple_Free 488134984 262151 + Backup GPT Table GPT Partition Data 488397135 32 + Backup GPT Header GPT Header 488397167 1 + synthesized kevin@[~]$ sudo hdiutil partition /dev/disk0s1 scheme: none block size: 512 _ ## Type Name Start Size 6
MacOSXforensics Enintroduktion 2009 03 23 + DOS_FAT_32 hel skiva 0 409600 + synthesized kevin@[~]$ sudo hdiutil partition /dev/disk0s2 scheme: none block size: 512 _ ## Type Name Start Size + Apple_HFS hel skiva 0 487725344 + synthesized kevin@[~]$ VerktygetvisarattenhetenanvändersigavettGUIDpartitionsschemamedblockstorlek512 Bytesochinnehållerettflertalpartitoner.Sektor0ärbootsektornmedenstorlekpå1sektor. Sektor1ärdenprimäraGUIDpartitionstabellhuvudetochsektor2t.o.m.32ärGUIDpartition datasombeskriverutseendetpådisken.dessatvåpartitionerfinnssomkopiorislutetav enheten.partitionermedapplefreeanvändssomutfyllnadochkanvaraenplatsattgömma information.denpartitionsomärmestintressantärapple_hfscustomer.envidare undersökningavdennapartitionkangörasmedverktygetdiskutil: kevin@[~]$ diskutil info /dev/disk0s2 Device Identifier: disk0s2 Device Node: /dev/disk0s2 Part Of Whole: disk0 Device / Media Name: Customer Volume Name: Macintosh HD Mount Point: / File System: Journaled HFS+ Journal size 24576 KB at offset 0x10302000 Owners: Enabled Partition Type: Bootable: Media Type: Protocol: SMART Status: Volume UUID: Total Size: Free Space: Read Only: Ejectable: Whole: Internal: Apple_HFS Is bootable Generic SATA Verified DA337BE8-BE0D-30BF-A273-38A1DC9C3226 232.6 Gi (249715376128 B) (487725344 512-byte blocks) 137.2 Gi (147269672960 B) (287636080 512-byte blocks) No No No Yes Medjournalföringmenasettsättattgenomettregister,logghållaenjournalöverändringarföre skrivningpådisken.fördelenmeddettaäromdatornskullestoppap.g.a.strömavbrottellerav annanorsaksåkommerjournalenattanvändasförattåterställadiskentillettkäntfungerande tillstånd. 7
MacOSXforensics Enintroduktion 2009 03 23 Viktigt! Tänkpåattomdubryterströmmentilldatornunderenforensiskundersökningochsenareväljerattboota enforensisktagenkopiaavenhetenattjournalenkankommaattanvändasförattåterställainformation. Dettaskullekunnageinkorrektinformation. DenendaunikakarakteristikenmedApplespartitionsschemaärattdetfinnsmångaoanvända områdensomkananvändasförattgömmainformation.datakanocksågömmasisektorer mellanolikastrukturerihfs+volymen.givetviskaninformationfinnasifilersslackutrymme precissommedandrapartitionsscheman.följaktligensåskerenforensiskundersökningaven HFS+volympåsammasättsommedandrafilsystem.Verktygsomföljermedt.ex.Sleuth kitt.ex. mmlsochvanligahex editorersamtandraforensiskaverktygsomkännertillfilsystemetkan användas. 2.3 Andrafilsystem Den6juni2005meddeladeSteveJobs,VDförAppleattdeskulleövergåfrånattanvända PowerPCprocessorerisinadatorertillattanvändaprocessorerfrånIntel.Användningenav Intel processorertillsammansmedverktygetbootcamp 5 gördetmöjligtattköraandra operativsystemutanvirtualisering.därförärdetinteovanligtidagattdetfinnsandra partitionersomt.ex.fat32,ntfs,efspåenmodernmac.dettaärviktigtatttänkapåinnanman börjarmedenforensiskundersökningochförvärvavhårddisk. 2.4 MacOSXkatalogstruktur Fördenvanligaanvändarensåärmycketavdenunderliggandekatalogstrukturenisystemet somstandardgömt.manpresenterasförattgrafisktgränssnittförattkommuniceramed underliggandetjänster.applehargjortdetsåförattanvändaresominteharsåmycketkunskap inteskallställatillmedproblem.förattsedenunderliggandekatalogstrukturensåkanman användasigavterminalen. Tittarmanirotenavsystemetgenomdetgrafiskagränssnittetsåkommermant.ex.presenteras avföljande: 5 Hjälpmedel,partitioneringsverktygförattinstalleraandraOSpåenMac.IngåriLeopard10.5 8
MacOSXforensics Enintroduktion 2009 03 23 Figur2.3Synligkatalogstruktur Listarmanrootiterminalensermanföljande: kevin@[/]$ ls -1a....DS_Store.Spotlight-V100.Trashes.bashrc.com.apple.timemachine.supported.fseventsd.hotfiles.btree.vol Användarhandböcker och information Applications Desktop DB Desktop DF Developer Library Network System Users Volumes bin cores dev etc home mach_kernel mach_kernel.ctfsys net private sbin tmp usr var 9
MacOSXforensics Enintroduktion 2009 03 23 Somsynessåfårmantillträdetillflerkatalogergenomattanvändasigavterminalen.Nedan följerenkortbeskrivningavvanligamacosxkataloger,dessinnehållochfunktion. Katalog Beskrivning / Rootkatalogen,föräldertillallaandraunderliggandekataloger. /Applications Ärganskasjälvbeskrivande.Innehållerdatornsprogram. VisarsignärmaninstalleratAppleDeveloperToolsochinnehåller /Developer utvecklingsverktyg,dokumentationochfiler. Deladebiblioteksfiler,filernödvändigaföroperativsystemetsfuntion.Innehåller /Library inställningarförglobalaprogramochsystem. /Network Nätverksrelateradedrivrutiner,servrarochbibliotek. /System Systemrelateradefiler,biblioteketc.KritiskförMacOSXfunktionalitet. /Users Allaanvändarkontonochderasunikafiler,inställningaretc.Påminnerom/homei Linux. /Volumes Monteradeenheterochvolymersomt.ex.CD,DVD,HDD,DMG,ISOetc. Nödvändigavanligabibliotek,innehållerprogramochfilersombehövsförattstarta /bin systemetochförattsystemetskallfungerarätt. Maskinenslokalasystemkonfiguration,innehålleradministrativa /etc konfigurationsinställningarochandrasystemfiler. /dev Enhetsfiler,allafilersomrepresenterarhårdvaraiellerkopplattilldatorn. /usr Innehållerunderkatalogermedinformation,konfigurationsfilerochandra nödvändighetersomanvändsavoperativsystemet. /sbin Innehållernödvändigasystembinärerochverktygförsystemadministration. /tmp Innehållertemporärafiler,cacharetc. /var Innehållerföränderligdata.Filersomförändrasundertidensystemetkörs.Man hittart.ex.loggfilerförsystemetunder/var/log. Tabell1:MacOSXkatalogstrukturochbeskrivning 10
MacOSXforensics Enintroduktion 2009 03 23 2.5 Användarnashemmakatalog Enanvändarehemmakatalogtillsammansmedsystemloggarochinställningsfilerärtroligendet somgerdenmestvärdefullainformationunderenutredning. Enanvändareshemmakataloginnehållerstandardkatalogerochkatalogerspecifikatillt.ex.ett installeratprogram.hemmakatalogeninnehållert.ex.följandekataloger: Desktop,innehållerallafiler,genvägaretc.somliggerpåanvändarensskrivbord. Documents,innehållerprogramspecifikadokument.Dokumentfrånt.ex.Word,Pages, Keynote,Excelsparasomstandardunderdennakatalog. Library,underdennakataloghittarmanmycketinformation.Innehållerloggar, inställningar,webbläsarhistorik,senastefileretc.ennärmarebeskrivningföljersenarei arbetet. Movies,innehållertypisktiDVDfilmdata,Quicktime filmerochandradigitalavideo material. Music,innehållertypisktanvändarensiTunesmusikbibliotek,menävenandramusiks relateradefiltypersomt.ex.mp3 filer. Pictures,innehållersomnamnetantyderbilder.iPhotobiblioteketbrukarnormaltsett sparasidennakatalog. Public,ärenstandardkatalogdäranvändarekanläggatillochläsafiler.Användarnakan somstandardinteraderfileridennakatalog.ommaninteärägarenförstås.används mestiutdelningssyfteinätverk.jmf.minadeladedokumentiwindowsmiljön. Sites,ommanharaktiveratdeninbyggdaWWW,apacheservernsåhittarman användareswebbsidaunderdennakatalog. 2.5.1 Användarbiblioteket Användarbiblioteketkommerattinnehållamängdermedinformationsomt.ex. användarspecifikadrivrutiner,typsnitt,inställningarochsystemtillägg.informationsomär vikigtförenforensiskutredningsomt.ex.webbläsarhistorik,e postfiler,e postbilagoretc. Någravanligakatalogerochdessinnehållär: ApplicationSupport Härhittarmankatalogerochfilersomhärstammarfrån programinstallationer.omenanvändareraderarettprogramfrånsindatorsåkommer katalogerochinformationliggakvarhärommaninteanvänderspeciellas.k. avinstallationsprogram.etttypisktgratissådantprogramärappcleaner 6.Mycket informationsomkanhastorviktienutredningkanfinnasidennakatalog. Automator Användarspecifikahändelseskript.Dessaskriptkaninnehållainformation omt.ex.automatiseradefilkopieringar,serveranslutningaretc. Caches Härkanmanhittamyckethistoriskinformation.Innehålletidennakatalogär bl.a.informationomanvändningavprogram,besöktawebbplatser,ev.imkompislistor, 6 http://www.freemacsoft.net/appcleaner/ 11
MacOSXforensics Enintroduktion 2009 03 23 nedladdadefileretc.denhärkatalogenbörundersökanoggrant.programsomär borttagnafråndatornkanlämnakvarinformationidennakatalog. Cookies AnvändsfrämstavwebbläsaresomdeninbyggdaSafari.Innehållerhögst troligtvisenfilmednamnetcookies.plist.meroms.k.plistfilerföljersenareiarbetet. Favorites Innehållerinformationomfavoriterförfunktionen Ansluttillserver i Finder. Logs Innehållerloggfilerochinformationomanvändningtillhörandeettflertal program. MailochMailDownloads Innehållere postmapper,filer,kontoinformation,regler, signatureretc.förprogrammetmail.standarde postklientundermacosx. Phones Innehållerinformationomtelefonersomharvaritanslutnatilldenne användareskontoochdator.specifikinformationomtelefonerkanhittasunderfilen Indo.plist(IMEI,Modellnamnetc.) RecentServers Härhittarmaninformationomserveranslutningarsomgjortsnyligen. (AFP,FTP,SMBetc.) Safari InnehållerinformationomstandardwebbläsarenSafari.Innehållsomt.ex. bokmärken,historikochnedladdningshistorikfinnshär. Detfinnsförutomdeovannämndaettflertalandrakatalogermedinformation.Detärviktigtatt underenutredningtittaigenomanvändarensochsystemetsbibliotekskatalog.väldigtmycket intressantinformationkanhittasidessaplatser. 2.6 Programochteknologier MacOSXharettflertalrobustatjänstersomliggerbakomdetgrafiskagränssnittet. Automatiseringavuppgifterärlättgenombl.a.shell,Applescriptochgenomprogrammet Automator.Automator 7 ärettpeka och klickaprogramsomgördetenkeltattautomatisera uppgifter.medmacosxsåmedföljerbl.a.perl,pyhton,php,apachehttpserverm.fl.nedan beskrivsnågravanligaprogramochtjänsterimacochdessanvändningsområde. Viktigt! EttprogramiMacOSXharfiländelsen.app.Programmenärs.k.paketsomegentligenbaraärenmapp. Flyttasprogramfilenövertillt.e.x.Windowssåkommermansehelamappstrukturen.Dettakanocksågöras undermacgenomatthögerklicka(ctrl klicka)ochsedanvälja Visapaketetsinnehåll.Informationkant.ex. varagömtiettprogrampaket. 2.6.1 Bonjour(Rendezvous) ärenteknologisomutvecklatsavappleochäretts.k.noll konfigurationsnätverk.gördet möjligtattautomatisktupptäckaandradatorerochenheteriettnätverk.bonjourärinstallerad somstandardiosx10.3ochsenare. 7 http://en.wikipedia.org/wiki/automator_(software) 12
MacOSXforensics Enintroduktion 2009 03 23 2.6.2 FileVault MedFileVaultsåsäkraranvändarensinhemmamappgenomkryptering.Krypteringenbestårav 128bitarsAESochskerautomatisktibakgrunden.TillskillnadmotWindowsVistasBitlockerså ärdetendastanvändarenshemmamappsomkrypterasimacosx.filevaultärintepåslaget somstandardmenanvändarenkanaktiveratjänstengenomsysteminställningar Säkerhet FileVault. OmFileVaultäraktiveratsåkommerhelahemmamappenattläggasinienkrypterad sparseimagefilmednamet:användarnamn.spareimageianvändarenshemmakatalog.en sparseimagefilärenvanligdmg fildärstorlekenärdynamisk(växervidbehov).endmg filär MacOSXskivavbildsformat. Förattkommaåtenannananvändareskrypteradehemmamappsåmåstemanha administrationsrättigheterochförattkommaåtinnehålletihemmamappensåmåstemanha användarenslösenordellerhuvudlösenordetomettsådantäraktiveradimacosx säkerhetsinställningar. Förattkopieraenanvändareskrypteradehemmamappsåkanmangöraföljande: 1. Öppnaettshelliterminalenmedrooträttigheter:sudo sh 2. Kopierafilentillönskadmapp:cp /Users/kevin/kevin.sparseimage /Bevis-001 3. Taägarskapavfilen:chown användarnamn /Bevis-001/kevin.sparseimage 4. Låsfilensåattingaändringarkangöras:chflags uchg /Bevis- 001/kevin.sparseimage Studerarmandenkrypteradefilensåkommermaninteseannatänrabarbersoppa.Dockkan detvaravärtattnämnaattenkrypteradhemmamappharföljandesignaturifilhuvudet: encrcdsa FilenkansedanmonterasiMacOSXgenomattdubbelklickapåfilen.Vidlyckadmonteringså kommermanpresenteradförendialogrutamedförfråganomanvändarenslösenordtill hemmamappen. Detfinnsettprogrammednamnetvfcrack 8 somkanvaratillhjälpförattknäckafilevault. 2.6.3 Spotlight SpotlightärindexeringsmotornochsöktjänsteniMacOSXsomanvändsföratthållaredapå filerochdessmetadata.endoldfilmednamnet.spotlight-v100skapasirotenochinnehåller indexeringsdata.spotlightärsomaktiveradsomstandardochindexerarsomstandardföljande platser: Allahemmakataloger Documents,Movies,MusicandPictureskatalogerna Papperskorgenförallamonteradevolymerochanvändare 8 http://openciphers.sourceforge.net/oc/vfcrack.php 13
MacOSXforensics Enintroduktion 2009 03 23 ~/Library/Metadata/ ~/Library/Caches/Metadata/ ~/Library/Mail/ ~/Library/Caches/com.apple.AddressBook/Metadata/ ~/Library/PreferencePanes/ /Library/PreferencePanes/ /System/Library/PreferencePanes/ /Applications Användarnakanocksåmanuelltläggatillplatsersomdetyckerskallindexerasförsnabb sökning,åtkomst.spotlightkommerocksåautomatiskattindexeraexternlagringsmedia(usb, FireWire)närdessakopplasinisystemet. Viktigt! Omdatorninnehållerfleraanvändarkontonsåkommerallafilersomliggeröverstianvändarens hemmakatalog(överstikatalogstrukturen)ocksåattindexeras.dessafilerkanmansökapåmendekaninte ändras.filersomfinnsinomdesktop,documents,library,music,moviesochpictureskommerinteatt indexerasellerkunnasökaspåfrånenannananvändareskonto. TvåanvändbaraterminalverktygförarbetamedSpotlightindexär: mdfind,ettterminalverktygföratthittafilergenomspotlightindex. mdls,visarmetadataförengivenfil Somexempelpåanvändningsåprovarjagiterminalenattsökadettadokument: kevin@[~]$ mdfind DT2005_MacOSX /Users/kevin/Documents/Microsoft användardata/office 2008 AutoRecovery/AutoRecovery save of DT2005_MacOSX_forensics_Kevin_Lund.docx /Users/kevin/Documents/Utbildning/Högskolan Dalarna/DT2005 - Kriminalteknisk datavetenskap II/Projekt/DT2005_MacOSX_forensics_Kevin_Lund.docx kevin@[~]$ mdls ~/Documents/Utbildning/Högskolan\ Dalarna/DT2005\ -\ Kriminalteknisk\ datavetenskap\ II/Projekt/DT2005_MacOSX_forensics_Kevin_Lund.docx kmditemauthors = ( "Kevin Lund" ) kmditemcomment = "Rapport för tentamensprojekt i DT1012-Nätverkssäkerhet" kmditemcontentcreationdate = 2009-03-17 14:11:22 +0100 kmditemcontentmodificationdate = 2009-03-22 17:50:44 +0100 kmditemcontenttype = "org.openxmlformats.wordprocessingml.document" kmditemcontenttypetree = ( "org.openxmlformats.wordprocessingml.document", "org.openxmlformats.openxml", "public.zip-archive", "com.pkware.zip-archive", "public.data", "public.item", "com.apple.bom-archive", "public.archive", "public.composite-content", 14
MacOSXforensics Enintroduktion 2009 03 23 "public.content" ) kmditemdisplayname = "DT2005_MacOSX_forensics_Kevin_Lund.docx" kmditemeditors = ( "Kevin Lund" ) kmditemfscontentchangedate = 2009-03-22 17:50:44 +0100 kmditemfscreationdate = 2009-03-17 14:11:22 +0100 kmditemfscreatorcode = "MSWD" kmditemfsfinderflags = 0 kmditemfshascustomicon = 0 kmditemfsinvisible = 0 kmditemfsisextensionhidden = 0 kmditemfsisstationery = 0 kmditemfslabel = 0 kmditemfsname = "DT2005_MacOSX_forensics_Kevin_Lund.docx" kmditemfsnodecount = 0 kmditemfsownergroupid = 20 kmditemfsowneruserid = 501 kmditemfssize = 166989 kmditemfstypecode = "WXBN" kmditemkind = "Microsoft Word-dokument" kmditemlastuseddate = 2009-03-22 17:50:44 +0100 kmditemorganizations = ( "Ho\U0308gskolan Dalarna" ) kmditemsubject = "Nätverkssäkerhet" kmditemtitle = "Tentamen" kmditemuseddates = ( 2009-03-17 00:00:00 +0100, 2009-03-18 00:00:00 +0100, 2009-03-19 00:00:00 +0100, 2009-03-20 00:00:00 +0100, 2009-03-21 00:00:00 +0100, 2009-03-22 00:00:00 +0100 ) Ovansynsmetadataförfilen,datumendåfilenanvänts,namnetc.Imittfallsåsynsdetganska tydligtattjaganväntmigavenmallsomjagkopieratintexttill:tentamensprojektetikursen Nätverkssäkerhet.Filenskapades2009 03 1714:11:22+0100. 2.6.4 Finder FinderärMacOSXfilhanterare.Programmetvarenavdeförstagrafiskafilhanterarnaochhar varitenförebildtillwindowsanvändarnas Utforskaren. 2.6.5 DiskArbitration DiskarbitrationärenbakgrundstjänstiMacOSXsomhanterarmonteringavfilsystem.Denhär tjänstenkommerautomatisktattmonteraochvisaeninkoppladenhetsomt.ex.enexternusb hårddisk.diskarbitrationkommerattmonteravolymermedläs ochskrivrättighetervilketinte ärönskvärtiforensisktsyfte.närmananvänderenmacosxdatorförattundersökaen misstänktsdatorsåbördennatjänstvaraavstängd.observeraattntfsvolymerendastkommer 15
MacOSXforensics Enintroduktion 2009 03 23 attmonterasmedläsrättigheteromintemacfuse 9 ellerparagaonntfsformac 10 ellerannan liknandetjänstärinstalleradpåsystemet. FörattaktiveraelleravaktiveraDiskArbitrationunderMacOSXgörföljande: 1. Taensäkerhetskopiaavfilen/etc/mach_init.d/diskarbitrationd.plist sudo cp /etc/mach_init.d/diskarbitrationd.plist /Backup/ 2. Radera/etc/mach_init.d/diskarbitrationd.plist sudo rm /etc/mach_init.d/diskarbitrationd.plist 3. StartaomsystemetochDiskArbitrationskallvaraavstängd. 4. FörattaktiveraDiskArbitraionigensåkopieratillbakadensäkerhetskopierade originalfilentillbakatillursprungligplats. sudo cp /Backup/diskarbitrationd.plist /etc/mach_init.d/ 5. Startasedanomsystemet! FörmerainformationomDiskarbitrationsemansidanunderbilagor. 2.6.6 AddressBook AdressbokenärenapplikationsomföljermedMacOSXsomstandard.Användsavanvändaren förattlagranamn,adresser,telefonnummer,im alias,hemsideinformationetc.adressbokenär ocksåtättintegreradmedandraapplikationersomt.e.x.mail&safari. Merainfokanhittas: ~/Library/Address Book Plug-Ins ~/Library/Application Support/AddressBook 2.6.7 ical Ärdetmedföljandekalenderprogrammet.iCalärettenkeltprogramochanvändasganskaflitigt avmacanhängarna.icalkanocksåsynkroniserasmedonlinetjänstenmobileme.användarna kanocksåpublicerasinakalendraronlineförandraattse. Informationomkalendrarkanhittashär: ~/Library/Calendars 2.6.8 Mail Ärdenmedföljandeochpopulärae postklienten.mailärtättintegreradmedadressbokenoch hållerocksåredapåmottagnaochskickadee postadressersomintefinnsadressboken.regler kanskrivasochprogrammetharenenkelskräpposthanterare.mailharstödförflerakontonoch POP3&IMAP. 9 http://code.google.com/p/macfuse/ 10 http://www.paragon software.com/home/ntfs mac/ 16
MacOSXforensics Enintroduktion 2009 03 23 Informationkanhittaspåföljandeplatser: ~/Library/Preferences/com.apple.mail.plist ~/Library/Mail/ ~/Library/Mail-attachments/ 2.6.9.Mac&MobileMe.macellerMobileMesomdetnumeraheterärentjänstsomköpsitilläggavApplesomger användarnatillgångtillmailmedupptillfemaliasadresser.tjänstenärtättintegreradmedmac OSXochanvändsförbl.a.säkerhetskopieringonlineidetmedföljande20GBlagringsutrymmet. MobileMetillåtersynkningavadressbok,Safaribokmärken,iCalkalendrar,nycklar, webblösenord,certifikatetc. Enbraidéärattgåigenominformationhäromtjänsteninhandlatsavdatorägaren.Brukarspara enplistfilunder~/library/preferencesmedinformationsynkning,namnetc. 2.6.10 Nyckelhanteraren ÄrAppleslösenordshanteringssystem.Innehållerbl.a.lösenordtillwebbplatser,FTPservrar, SSHkonton,nätverksutdelningar,krypteradeenheter,privatanycklar,certifikatetc. IMacOSXsparasnormaltkeychain filerpåföljandeplatser: ~/Library/Keychains/ /Library/Keychains/ /Network/Library/Keychains/ Nyckelhanteringsfilensomanvändssomstandardärlogin.keychainochfinnsunder hemmakatalogen.dennafilärdensomladdasinautomatisknärenanvändareloggarini systemetmedsittlösenord. 2.6.11 Safari ÄrwebbläsarensomföljermedsomstandardiMacOSX.DenanvändsganskaflitigtavMac användarnamenävenandrawebbläsaresomt.ex.firefox&operaärpopulära. Safarifrånochmedversion3använderprecissomsenareversioneravFireFox,SQLitefilerför attsparanercacheochhistorik.safarispararnerwebbformulärlösenordikeychain. Merinformationkanhittas: ~/Library/Preferences/com.apple.Safari.plist ~/Library/Caches ~/Library/Safari Frånommedversion3.1.1sparaswebbcachepåföljandeplats: /private/var/folders 17
MacOSXforensics Enintroduktion 2009 03 23 2.6.12 Programförsnabbmeddelanden DetfinnsmångaprogramförsnabbmeddelandenpåMac.DetprogramsommedföljerMacOSX heterichatochharstödförföljandeprotokoll: AOL, ICQ, JabberochGoogleTalk Bonjour,.Mac(MobileMe) AndraIM programärbl.a.aolinstantmessenger,adium,microsoftmessenger,skypem.fl. MSNprotokolletärdetprotokollförsnabbmeddelandesomärpopulärastiSverige.Program somstöderdessaärgivetvisdemestpopulära.desomfallerinidenkategorinärmicrosoft MessengerochAdium. MicrosoftMessengerspararnerinformationombl.a.historikochdataförklientenunder ~/Documents/Microsoft userdata/ Adiumsparariställetnerinformationunder:~/Library/Application Support/Adium 2.0/ 18
MacOSXforensics Enintroduktion 2009 03 23 2.7 MacOSXloggfiler MacOSXskaparprecissomLinuxochandraUnixsystemmångaloggfiler.Vissaloggfilerär väldigtdetaljerademedanandraäravliteintresseienforensiskundersökning.nedanföljer någraloggfilersomkanvaraavintresseförattetableratidslinje,handlingaroch konfigurationer. Loggfil /var/log/crashreporter.log /var/log/cups/access_log /var/log/cups/error_log /var/log/daily.out /var/log/samba/log.nmbd /var/log/appfirewall.log ~/Library/Logs Beskrivning / Innehåll Innehålleranvändningshistorik,informationskrivstilldennafilnärett programkraschar. Informationomskrivaranslutning. Informationomskrivaranslutning. Historikövernätverksinterfaceochdiskstorlek. InformationomanslutningartillSambaenheter(Windowsbaserade enheter). Informationombrandväggstrafik. Pådennaplatsfinnsprogramspecifikaloggar. ~/Library/Logs/DiscRecording.log InnehållerenloggöverCD/DVDmediasomärutbräntmedFinder. Innehållerenloggövermonterade,avmonteradeISOochDMGfiler, ~/Library/Logs/DiscUtility.log partitionsinformationomhd,reparationeravbehörigheteretc. InnehållerinformationöverförflutnaiChatanslutningsförsök.Man ~/Library/Logs/iChatConnectionErrors hittardatasomt.ex.användarnamn,ip adresserochdatumsamttid förförsöket. Innehållerinformationöverev.MobileMesynkning,mobilaenheter ~/Library/Logs/Sync somt.ex.ipodsochmobiltelefoner,tidochdatumförhändelsen. Tabell2:VanligaloggfileriMacOSXochdessinnehåll(Kubasiak, 2007) 19
MacOSXforensics Enintroduktion 2009 03 23 2.8 PropertyListFormatFile(.plist) MacOSXochallaandraMacOSversioneranvändersiginteavettregistersomMicrosoft Windowsanvändersigav.Iställetanvändss.k.plist filerförattsparanerinnehåll.plistären förkortningför PropertyListFormatFile.Innehålletienplist filärbinärtxmlformatochkan inteläsasmedenvanligtexteditor. Detfinnsettflertalspeciellaverktygförattbehandlaplist filerpåenmac.dessakanladdasner frånt.ex.macupdateellerversiontracker.tillsammansmedxcodesomärapplesmotsvarighet tillmicrosoftsvisualstudiosåföljerdetmedocksåmedenplist editor.ettinbyggtanvändbart terminalverktygförattbehandlaplist filerärplutil. kevin@[~]$ sudo plutil -convert xml1 -o ~/Desktop/SystemVersion.xml /System/Library/CoreServices/SystemVersion.plist Ovanståendeexempelvisarentypiskanvändningavverktyget.Idettafallsåkonverteradejag filensystemversion.plisttillxml fil(systemversion.xml)tillskrivbordet.xml filenkansedan öppnasmedenvanligtexteditorellerannatverktygförattbehandlaxml filer.innehålletifilen är: <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/dtds/propertylist-1.0.dtd"> <plist version="1.0"> <dict> <key>productbuildversion</key> <string>9g55</string> <key>productcopyright</key> <string>1983-2008 Apple Inc.</string> <key>productname</key> <string>mac OS X</string> <key>productuservisibleversion</key> <string>10.5.6</string> <key>productversion</key> <string>10.5.6</string> </dict> </plist> Detärenkeltattskrivaettshellskript,AppleskriptelleranvändasigavAutomatorföratt automatiseradennaprocess.vanligaprogramochsystemetsparagenerelltsinainställningari plist filer.detfinnsmångaplist filerochdessafårundersökasfrånfalltillfallmennågra intressantaär: 20
MacOSXforensics Enintroduktion 2009 03 23 Fil /System/Library/CoreServices/System Version.plist /private/var/log/osinstall.custom /private/etc/hosts Beskrivning / Innehåll InnehållerversionsinformationominstalleratOS. Ingenplist filmeninnehållerinformationomdatumochtiddåos varinstallerat(avslutadinstallation). Ingenplist filmeninnehållerinformationomdefineradeip adresser ochdessassocieradenamn. Tabell3:Plist filerochandraviktigainformationsresurser Fil (~/Library/Preferences/) AdressBookMe.plist com.apple.bluetooth.plist com.apple.dashboard.plist Beskrivning / Innehåll Innehållerdatasomanvändarensjälvskrivitinomsigsjälvi Adressboken. InformationomenhetersomharvaritanslutnaviaBluethooth.Visar ocksåsenastedatumochtidföranslutningen. Informationominstallerades.k.Widgets. com.apple.dock.plist com.apple.finder.plist com.apple.grab.plist Informationomprogramtillgängligaidockan. Informationomsenasteöppnademappar,senasteserveranslutningar frånfinderochsenaste Gåtillmapp valet. Informationomsenastemappsomlästsin. com.apple.mail.plist InformationomMail.appochdessinställningarsomt.ex.kontonamn ochvarte postenliggerlagradpådisken. com.apple.networkutility.plist Informationomnätverksuppslagningarsomt.ex.Whois,Pingochport scans. Senastedokumentensomöppnatsmedprogrammet com.apple.prewiew.bookmarks.plist Förhandsgranskning. com.apple.print.printcenter.plist Informationomsenasteanslutnaskrivare. com.apple.quicktimeplayer.plist com.apple.safari.plist com.apple.sidebarlists.plist com.apple.systemuiserver.plist com.apple.scheduler.plist com.apple.recentitems.plist InformationomsenasteuppspeladefilmeriQuicktime. InformationomSafarihistoriksomt.ex.senastesöktermer,senaste öppnadelokalafileretc. Innehållerhistoriskinformationomnuvarandeochförgåendeobjekt somharvisatsifindersidebar. Informationom egna menyersominstalleratsavanvändaren.kan varaanvändbartommanvillsedetsomkörsnäranvändarenloggarin. Informationomschemalagdaautomatiskahändelsersomt.ex. SystemuppdateringellerMobileMesynkning. Informationomsenasteanvändaprogram,filerochserveranslutningar. Tabell4:Någraplist filermedintressantinformation. 21
MacOSXforensics Enintroduktion 2009 03 23 3 Informationsförvärv Nedankommerjagattbeskrivatreolikametoderförattpåettforensisktsättfåtillgångtilldata påenmisstänktsdator.tvåavteknikernakommerattinnebäraattanvändamåldatorndirekt ochetttredjesättgenomanvändingavytterligareendator.detreolikateknikernärsingleusermode,livecdochtargetdiskmode(firewirediskmode).ytterligareettsättattfå tillgångtillinformationurenmåldatorärattfysisktplockauthårddiskenurdatorn. 3.1 MacOSBootkommandon Detfinnsmångaolikatangentbordskommandonundersomorsakarolikahandlingarvidbootpå Mac.AllakombinationerfungerarintemedallaMacdatorer.Nedanärnågrakommandonoch dessfunktion: Funktion Förbigåstartskivanochbootafrånen externenhet(hd,cd,dvd) BootafrånenCD/DVD C Tangentbordskombination CMD ALT SHIFT DELETE BootafrånenspecifikSCSIID Matautdiskett(FloppyDisk) Väljenenhetattbootafrån CMD ALT SHIFT DELETE # Hållneremusknappen ALT StartaiTargetedDiskMode T OSXVerboseMode OSXSIngle UserMode OpenFirmware ALT V ALT S CMD ALT O F 3.2 Single usermode Tabell5:MacOStangentbordskombinationervidboot. Single usermodeärenavdebästaverktygeninommacintoshforensiskautredningar.dethär lägetioperativsystemetärursprungligentänktföradministratörerattpåettlättsättunderhålla datorn.isingle usermodekrävsdetkunskapomunixdåmankommuniceramedosenbart genomenterminal.isingle usermodesåkommermanattvararootpåsystemet. Viktigt! EnavanceradanvändarekanhaavaktiveratSingle usermode.omettförsökattbootaomisingle usermode intelyckas.antecknadettaiutredningsrapporten. EfterbootiSingle Usermode(seovan)såpresenterasmanfårettterminalfönsterdärmanär inloggadsomroot användare.mankanorsakamycketskadaommanintevetvadmangöri dettaläge.filsystemetärmonteratmedendastläs rättigheter.förattmonterafilsystemetmed skrivrättighetersåkanmananvändasigavkommandot:/sbin/mount -uw / 22
MacOSXforensics Enintroduktion 2009 03 23 Följandekommandonärickedestruktivaochkananvändasförattsamlaininformationunder enutredning: date Datummednuvarandetidszon. date u DatumiUTC hdiutilpartition/dev/disk0 Visarpartitionstabellenöverboot enheten hdiutilpmap2/dev/disk0 Visarytterligareinformationompartitionstabellenför boot enheten. ls/dev/disk? Listaraktivaenhetsfilerfördeinstalleradeenheterna. system_profilersphardwaredatatype VisarinfoomMacintoshhårdvara system_profilerspsoftwaredatatype VisarsysteminformationomOS system_profilerspparallelatadatatype VisarinfoomATAenheter system_profilersphardwareraiddatatype VisarinfoomhårdvaruRAID system_profilerspmemorydatatype Visarinfoominstalleratminne system_profilerparallelscsidatatype VisarinfoomSCSIenheter system_profilerspsasdatatype VisarinfoomSAS(SerialAttachedSCS)enheter system_profilerspserialatadatatype VisarinfoomSATAenheter 3.3 LiveCD FördelenmedattanvändaenBootCDärattsystemetochmjukvaraärdensammaförvarjegång manstartar.detärdockviktigtattpåpekaattallabootcdintefungerarmedallamacdatorer. Mankan,ommanharkunskapenattskapaenegenBootCD. AttbootafrånenLiveCDärenganskaenkelprocess.Startaommedskivaniochhållinne alt tangenteneller C.DetfinnsotroligtmångaLinuxdistributionerochattingåendebeskriva användningenavdessaliggerutanförramenidettaarbete.enenkelsökningiensökmotorför MacLiveBootCD,Knoppix,Ubuntuetc.ärettsättatttaframnödvändiginformation.Dockskall manvaramycketobservantmedvilkenlivecd,linuxdist.manväljer.detäravytterstaviktatt manvetvadsomhändernärmanstartarfrånskivansåattpotentiellviktiginformationinte förändras.linuxdistenskallhastödförefi,of,hfs/hfs+ochbörinteautomatisktmontera filsystemet. NågraexempelpåLinuxdistributionersomfungerarmedMacär: IntelMac UbuntuLiveCD IntelMac HelixLiveCD IntelMac BacktrackLiveCD PowerPCochIntelMac BBTMacquistionCD Fleradistributionerfinnsmedallsäkerhet.Användvalfrisökmotorföratthittamerainfo.BBT (BlackbagTechnologies)erbjuderenprenumerationpåenforensiskgodkändMacBootCD. MerainfoomBBTochMacquisitionkanhittashär: http://www.blackbagtech.com/products/macquisition.htm 23
MacOSXforensics Enintroduktion 2009 03 23 3.4 TargetDiskMode DentredjemetodenärTargetDiskModeellerFirewireDiskModesomdetocksåkallas.Denna metodärdenmetodsomerbjudermestflexibilitet.dukant.ex.användaenlaptopellerstationär datormedvalfrittosförattundersökamåldatorn.manskalldocksetillsåattauto mountpå undersökningsdatornäravslaget.observeraattdetinteärsäkertatttdmfungerarpå måldatorn. TargetDiskModeärenteknologisomtillåterenMacintoshdatorattagerasomenextern, firewireenhet.datornkommerinteattmodifieradataellerfilsystemominteanvändaren uttryckligenvilldet. Viktigt! TargetDiskModefungerarendastpåinternaATAenheter.TDMkommerendastattanslutatilldenATA enhetsomärangivensommasterpåultraatabussen.tdmkommerinteattanslutatillata slavar,atapi ellerscsienheter.mankanmedandraordintefåtillgångtillallainternaenheteromdetfinnsfleränen installerade.användex.livecdomdetmisstänksattdatorninnehållerflerainternaenheter. FörattanvändasigavTDMochtaenforensiskskivabildavenhetensåanvändföljandesteg: 1. SetillsåattdetOSsomanvändspåundersökningsdatorninteharauto mountpåslaget. OmenMacanvändssåavaktiveraDiskArbitration.(seovan) 2. Setillattmåldatornäravstängd.OmenlaptopärmåldatornsetillsåattAC adapternär inkopplad. 3. KopplaihopmåldatornmedundersökningsdatornmedenFireWirekabel. Undersökningsdatornbehöverintevaraavslagen. 4. Startamåldatornochomedelbarthållinne T knappentillsenfirewiresymbolvisas. 5. PåundersökningsdatornöppnaettterminalfönsterochletauppdenanslutnaTDM datornt.ex.ls /dev/disk? 6. TaenMD5summapåenheten:md5 /dev/disk1 > /Bevis/targetMac_start.md5 7. Använddetinbyggdaverktygetddföratttaenskivavbild:dd if=/dev/disk1 conv=noerror,sync of=/bevis/targetmac.ddsetillsåattutrymmefinns! 8. TaennyMD5summa:md5 /dev/disk1 > /Bevis/targetMac_end.md5 9. Stängavmåldatorngenomatthållainneströmknappen. 10. Kopplabortkabeln. 24
MacOSXforensics Enintroduktion 2009 03 23 3.5 FysiskurplockningavinternHD AttplockabortdeninternahårddiskenkanpåenMacintoshvaraenkompliceraduppgift.Vissa Macdatorerkanupplevassomomdemerellermindreärsvetsadeihop.SidaniFixit 11 visarmed detaljeradebilderpåhurmanplockarisärolikamacmodeller.andrakällorföratthitta informationomhurmanplockarisärenmacutanattförstöradenärbl.a.youtube. Viktigt! KomihågattanvändaenfysiskskrivspärrpåHDinnandenundersöks. 3.6 Liveundersökning Enliveundersökningavendatorinnebärattsparanerallflyktiginformationavvikt.Eftersom MacharinbyggtstödförbådePerlochPythonärdetmyckettroligtattdeskriptskrivnaför Linux/UnixidettaändamålkommerattfungeraraktaviMac.Dettabördockiförhand undersökasochbekräftaspåenannanmac.jagskulledockviljatipsaomettprogrammednamn MacLockPickIIfrånSubrosasoftsomunderlättardettaarbete.Programmetfinnsförbåde WindowsochMacochsamlarininformationfrånettflertalolikakällorutankonfiguration. Programmetkanocksåbyggasutmedhjälpavs.k.Plugins. Merinfoomprogrammetkanhittaspåföljandeplatser: http://www.macforensicslab.com/productsandservices/index.php?main_page=product _info&cpath=1&products_id=2&zenid=778622c0b02fa36a10156fdc2b2fcf30 http://www.macosxforensics.com/resources/maclockpickii/maclockpickii.html 3.7 MinnesdumppåenMac VirtuelltminnepåenMacsparasunder/var/vmochhittarenenhetsfilpåminnetunder /dev/mem*påvissamacos.finnsenenhetsfilsåkanenminnesdumpgörasmedhjälpavddpå följandesätt:dd if=/dev/mem of=memdump.img conv=noerror,sync PåallaMacOSsystemsåfinnsdetingenenhetsfilförminnet.MenpåallanyareMac(efter2005) såfinnsdetenfunktionsomkallasförsafesleep.dennafunktionärtänktattanvändasföratt återställadatornomdetskullebliströmavbrottunderdatornsvilolägeellerombatterietpåen bärbardatorärpåvägatttaslut.närdatorngårnedivilolägesåkommerheladatornsminne attkopierasnedtilldisk,okrypterat.innehålletidennafilkommerattkopierasövertillminnet igennärdatornväcksursittviloläge. Dennafilkanmanhittaunder/var/vm/sleepimage.Kopieringavdennafilskerpåsammasätt somovanmedddellerheltenkeltkopierafilen.givetvissåbörmd5ellersha1summartas innanochefterprocessen. 11 http://www.ifixit.com/guide 25
MacOSXforensics Enintroduktion 2009 03 23 4 Bilagor 4.1 MANsidor 4.1.1 Diskarbitrationd DISKARBITRATIOND(8) BSD System Manager's Manual DISKARBITRATIOND(8) NAME diskarbitrationd -- disk arbitration daemon SYNOPSIS diskarbitrationd [-d] DESCRIPTION diskarbitrationd listens for connections from clients, notifies clients of the appearance of disks and filesystems, and governs the mounting of filesystems and the claiming of disks amongst clients. diskarbitrationd is accessed via the Disk Arbitration framework. Options: -d Report detailed information in /var/log/diskarbitrationd.log. This option forces diskarbitrationd to run in the foreground. The file /etc/fstab is consulted for user-defined mount points, indexed by filesystem, in the mount point determination for a filesystem. Each filesystem can be identified by its UUID or by its label, using the constructs ``UUID'' or ``LABEL'', respectively. For example: UUID=DF000C7E-AE0C-3B15-B730-DFD2EF15CB91 /export ufs ro UUID=FAB060E9-79F7-33FF-BE85-E1D3ABD3EDEA none hfs rw,noauto LABEL=The\040Volume\040Name\040Is\040This none msdos ro FILES /etc/fstab /var/log/diskarbitrationd.log /var/run/diskarbitrationd.pid /System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist SEE ALSO fstab(5) Darwin July 18, 2004 Darwin 26
MacOSXforensics Enintroduktion 2009 03 23 4.1.2 Plutil PLUTIL(1) BSD General Commands Manual PLUTIL(1) NAME plutil -- property list utility SYNOPSIS plutil [command_option] [other_options] file... DESCRIPTION plutil can be used to check the syntax of property list files, or convert a plist file from one format to another. The first argument indicates the operation to perform, one of: -help -lint Show the usage information for the command and exit. Check the named property list files for syntax errors. This is the default command option if none is specified. -convert fmt Convert the named file to the indicated format and write back to the file system. If the file can't be loaded due to invalid syntax, the operation fails. fmt is one of: xml1, for version 1 of the XML plist format binary1, for version 1 of the binary plist format There are a few additional options: -- Specifies that all further arguments are file names -s Don't print anything on success. -o path Specify an alternate path name for the result of the -convert operation; this option is only useful with a single file to be converted. Specifying - as the path outputs to stdout (only allowed with XML output). -e extension Specify an alternate extension for converted files, and the output file names are otherwise the same. 27
MacOSXforensics Enintroduktion 2009 03 23 4.2 InitialDataGathering Dennainformationärhämtadfrån: http://www.macosxforensics.com/analysis/initialdatagathering/initialdatagathering.html OperatingSystemInstallationDate /var/log/osinstall.custom OperatingSystemVersion /System/Library/CoreServices/SystemVersion.plist (OS X Client) /System/Library/CoreServices/ServerVersion.plist (OS X Server) LastSoftwareUpdate /Library/Preferences/com.apple.SoftwareUpdate.plist RegistationInformationduringOperatingSystemInstallation /var/db/.applesetupdone CurrentTimeZone /etc/localtime (link file pointing to current time zone) OR /Library/Preferences/.GlobalPreferences.plist Auto LoginUserandLastLoginUser /Library/Preferences/com.apple.loginwindow.plist HomeFolders /Users/username UserAuto LaunchItems /Users/username/Library/Preferences/loginwindow.plist DeletedUsers /Library/Preferences/com.apple.preferences.accounts.plist NetworkSettings /Library/Preferences/com.apple.alf.plist - Firewall Settings /Library/Preferences/SystemConfiguration/com.apple.airport.preference s.plist - Airport (Wireless) Settings /Library/Preferences/SystemConfiguration/com.apple.nat.plist - Internet Sharing Settings /Library/Preferences/SystemConfiguration/com.apple.network.identifica tion.plist - Historical Network TCP/IP Assignments with Timestamps /Library/Preferences/SystemConfiguration/com.apple.NetworkInterfaces. plist - Onboard Interfaces 28
MacOSXforensics Enintroduktion 2009 03 23 /Library/Preferences/SystemConfiguration/com.apple.preferences.plist - Network Configuration for each interface BluetoothHistory /Library/Preferences/com.apple.Bluetooth.plist InstantMessaging /Library/Preferences/com.apple.iChat.AIM.plist /Library/Preferences/com.apple.iChat.plist /Library/Preferences/com.apple.iChat.SubNet.plist /Users/username/Library/Preferences/com.aol.aim.plist /Users/username/Library/Preferences/com.adiumX.adiumX.plist /Users/username/Library/Preferences/com.apple.iChat.AIM.plist /Users/username/Library/Preferences/com.apple.iChat.plist /Users/username/Library/Preferences/com.apple.SubNet.plist /Users/username/Library/Preferences/com.skype.skype.plist /Users/username/Library/Preferences/com.yahoo.messenger3.plist /Users/username/Library/Preferences/com.yahoo.messenger3.Users.screen name.plist PeertoPeer Safari /Users/Library/Preferences/Limewire/* /Users/username/Library/Safari/Bookmarks.plist - User's Bookmarks /Users/username/Library/Safari/Downloads.plist - Contents of the user's Downloads window in Safari /Users/username/Library/Safari/History.plist - Safari browser history /Users/username/Library/Safari/LastSession.plist - defines the last browsing session (window and tabs that were open) LogFiles /var/log/* /Users/username/Library/Logs/* SleepFileandVirtualMemory /var/vm/sleepimage /var/vm/swapfile0 29