DETAILS
Mac 取证操作流程

 

步骤 1:搜查前的准备工作

尽可能多地了解将要搜查的Mac的设备信息:

◾ 数量及类型 - MacBook, iMac 还是 Mac Pro

◾ 操作系统版本 - 为收集/分析内存镜像及硬盘镜像做准备

◾ 接口数量及种类 - 准备好适用的线材及转接卡

◾ 是不是含有 T2 安全芯片 - 判断是否需要修改安全启动选项

◾ 是否开启了 FileVault 加密

◾ 可以获得管理员/用户密码吗?

 

步骤 2:设备隔离

 

请具备电子取证经验的专业人士来进行操作,需符合电子取证操作规范,确保电子证据的原始性及完整性,严格遵守证据保管链制度。严禁无关人员接触到设备。

 

步骤 3:询问密码

Mac 在不断增强其安全性,包括 T2 安全芯片、APFS 文件系统,安全启动选项、FileVault 等等。任何一个安全性设置都可能导致调查人员提取数据失败。所以,拿到管理员密码非常非常的重要。

 

步骤 4:如果 Mac 处于开机锁屏状态

您可以:

◾ 询问密码 - 确认该密码正确,然后前往步骤 6

◾ 重启并提取内存镜像 - 可使用RECON IMAGER或其他内存镜像工具。此处的重启指的是软启动(即是如果有可能,尽量不要硬关机)。**请注意 - 不适用于含有 T2 安全芯片的 Mac**

 

步骤 5:如果 Mac 处于关机状态

可直接镜像,请前往步骤 12。

 

步骤 6:如果 Mac 处于开机可访问状态 - 查看反取证进程

◾ 查看是否正在运行反取证的进程,例如数据擦除应用,擦除空闲空间等。

如果此类进程正在运行:

◾ 请尝试将其停止。如果可以,请强制退出(Command + Option/Alt + Esc

 

步骤 7:如果 Mac 处于开机可访问状态 - 收集易失性数据

◾ 使用可信、已验证的工具(注意不是嫌疑人Mac中已安装的工具)提取易失性数据,例如正在运行的进程、网络连接、未保存的文档等。

◾ RECON ITR 带有自动收集易失性数据的功能。

 

步骤 8:如果 Mac 处于开机可访问状态 - 检查隐藏桌面或虚拟机

◾ 查看隐藏桌面是否有已打开的文件(MacOS最多支持16个桌面)。

◾ 查看是否有正在运行的虚拟机。如果有,用VM软件“保存快照” (请注意,此操作将会创建一个新文件,并可能会覆盖以往的快照文件)。

◾ 将该VM当作一个新的计算机来对待,按照相应的操作系统采集数据。

 

步骤 9:如果 Mac 处于开机可访问状态 - 检查加密情况

如用户已登录,则已加载的加密卷上的数据是可访问的。

◾ 检查已加载的卷是否有加密(Command + I)。如果有,将加密卷上的数据复制出来。注意请复制到格式化为HFS+的卷上,以保留元数据(可使用“rsync” 命令),用户也可以直接使用RECON ITR的实时镜像功能。

◾ “系统偏好->安全与隐私->FileVault”查看是否开启了FileVault加密。如已开启,请将根目录中的数据复制出来(请复制到格式化为HFS+的卷上,以保留元数据)。

◾ 用户也可以直接使用RECON ITR的实时镜像功能以及现场筛查工具来提取这些数据。

 

步骤 10:如果 Mac 处于开机可访问状态 - 提取内存镜像

◾ 使用支持 MacOS 的内存镜像工具进行提取,例如 RECON ITR

 

** 请注意 - 提取Mac的内存镜像可能会引起内核错误,并可能需要输入管理员密码。建议请在其他数据提取完成后,最后才提取内存数据。**

 

步骤 11:如果 Mac 处于开机可访问状态 - 关机

需要在开机状态下提取的数据提取完成后,就可以关机了。您可以使用硬关机的方法,也可以软关机。

 

步骤 12:获取系统时间日期

◾ 查看是否设置了固件密码 - 对于已关机的系统,请您按住 Option/ALT 键开机,这样可以检查该Mac是否设置了固件密码。如果有固件密码,会出现一个锁头图标;如果没有固件密码(没有出现锁头图标),则长按电源键关机。

◾ 获取系统时间日期 - 如果这部Mac不含T2安全芯片,再次开机并按住 Command + S键,当你见到一些文本时,无需理会。这样就进入了单用户模式。如果Mac含有T2安全芯片,您需要输入密码才能进入单用户模式。

◾ 进入单用户模式后输入命令:date

◾ 长按关机键关机。

 

步骤 13:镜像 macOS Extended (HFS+)

RECON IMAGER 启动 Mac,启动后,可在“磁盘管理”界面查看 Core Storage 卷。用户可以根据需要创建物理镜像、卷镜像或 Core Storage 衍生卷镜像。

◾ DMG 格式 - .dmg 是一种原始镜像格式,可直接在 MacOS 原生环境中挂载,也可导入到其他取证工具中进行分析。

 

 

步骤 14:镜像 Fusion Drive

◾ Fusion Drive 由两块硬盘(通常为SSD+普通硬盘,或两个SSD)组成。

◾ RECON Imager 则可直接识别合成磁盘的文件系统并进行镜像。

 

步骤 15:用 PALADIN 创建镜像

不含 T2 安全芯片的 Mac 可使用 PALADIN 进行镜像。

◾ DMG 格式 - .dmg 是一种原始镜像格式,可直接在 MacOS 原生环境中挂载,也可导入到其他取证工具中进行分析。

 

步骤 16:用 PALADIN 创建 Fusion Drive 镜像

◾ Fusion Drive 由两块硬盘(通常为SSD+普通硬盘,或两个SSD)组成。

◾ 用户可以使用 PALADIN 分别创建两个硬盘的镜像,推荐使用.dmg格式。

◾ MacOS里可以将这两个镜像重新合并重组为一个卷,请注意要先加载SSD

◾ RECON LAB 支持自动重组功能。

 

步骤 17:镜像含有 T2 安全芯片且开启了安全启动选项的 Mac

新款含有T2安全芯片的Mac默认开启了安全启动选项,不允许从外部设备启动。

如需镜像,请启动源Mac并进入目标盘模式(按下开机键后立刻按住"T")。

用合适的连接线(例如:雷电连接线)将您的取证Mac与源Mac连接,然后用 RECON IMAGER 启动取证Mac

另外,您也可以在运行中的取证Mac上使用RECON ITR。在磁盘管理页面禁用磁盘仲裁,然后在 RECON IMAGER 页面对以目标盘模式连接的源Mac进行镜像。

或者,如果您知道源Mac的管理员密码,也可以直接在源Mac的恢复模式中禁用“安全启动”及“允许从外部介质启动”,然后就可以使用RECON IMAGER来启动并镜像了。

 

步骤 18:加载取证镜像(DMG) - 锁定镜像

使用"Command + I" 锁定取证镜像。

 

步骤 19:加载取证镜像(DMG) - 加载单个镜像

Macs中已锁定的取证镜像必须用影子文件来加载。

例如:hdiutil attach -noverify -noautofsck IMAGE.DMG -shadow

 

步骤 20:加载取证镜像(DMG) - 加载Fusion Drive镜像 - APFS

必须先加载SSD的镜像:

hdiutil attach -readonly -nomount -imagekey diskimage-class=CRawDiskImage /Volumes/DEST/SSD_FUSION/SSD_FUSION.dmg

然后再加载普通硬盘的镜像:

hdiutil attach -readonly -nomount -imagekey diskimage-class=CRawDiskImage /Volumes/DEST/PLATTER_FUSION/PLATTER_FUSION.dmg

在磁盘工具中查看加载的情况,如果相应的卷是灰色,请邮件单击后选择 “加载”。

 

步骤 21:索引

如欲使用“聚焦”在取证镜像中进行搜索,用户需要先对其进行索引:

mdutil -i on /{volumename}

 

步骤 22:索引搜索

在访达中前往需要搜索的目录或卷,然后在聚焦搜索栏(Command + F)开始搜索关键字。

将搜索范围锁定在某一个目录,然后可以添加筛选条件找到所需的数据。

 

步骤 23:报告 - 屏幕截图

◾ 全屏截图 - (Command + Shift + 3)

◾ 自选区域截图 - (Command + Shift + 4)

◾ 窗口截图 - (Command + Shift + 4 + 空格键)

 

步骤 24:报告 - 打印或保存为PDF

快捷键 (Command + P) 为打印,也可在该窗口中选择 “保存至 PDF”。

 

步骤 25:报告 - 痕迹复制流程

◾ 建议用户试用与取证镜像相同版本的macOS,这样可以确保用户以原生格式查看数据。

◾ 在取证Mac上创建一个新的用户账户(需要是管理员账户)。

◾ 将有嫌疑的应用程序痕迹复制到一个外置移动硬盘上。

◾ 切换至新的用户账户,在这个账户中将新用户的应用程序数据用有嫌疑的应用程序痕迹替换掉。

◾ 运行这些应用程序,并通过PDF打印或屏幕截图的方式进行记录。

◾ 报告完成后,登出新用户账户,回到原来的用户账户。

◾ “系统偏好”中移除新用户账户,您可以选择将此用户数据归档,也可以删除。



下一篇:没有了

上一篇:关于Checkm8和Checkra1n的所有您想问的问题

联系我们
  •    北京
  • 电话:010-62983123
  • 地址:北京市海淀区信息路15号616
  •    天津
  • 电话:022-23737908
  • 地址:天津市华苑产业区开华道22号普天大厦东塔5层
Copyright © 2002-2020 Timehost Technology Co.,Ltd 北京天鉴科技有限公司 | 北京天宇宏远科技有限公司 京ICP备05073270号