APFS-Dateisystem und neue Mac-Artefakt-Unterstützung in Magnet AXIOM 3.0
Magnet AXIOM geht in sein drittes Jahr, alsomit Magnet AXIOM 3.0 haben wir wirklich hart daran gearbeitet, es zu einer großen Veröffentlichung zu machen, wir konzentrieren uns hierbei sowohl auf die Unterstützung eines neuen Dateisystems als auch auf das Hinzufügen einer Fülle neuer Artefaktunterstützung.
Mit einem leistungsstarken neuen Timeline-Explorer, einer neu gestalteten Medienkategorisierung (Project Vic/CAID) und zusätzlicher Cloud-Unterstützung für Slack, Warrant Returns & „Download Your Information“ von Facebook und Twitter-Akquisitionen wäre AXIOM 3.0 bereits ein bedeutendes Release. Aber wir freuen uns sehr, auch umfassende Unterstützung für macOS und APFS einzuführen. In dieser Anleitung gehen wir durch das APFS-Dateisystem und welche neuen Mac-Artefakte in AXIOM 3.0 unterstützt werden.
Die neueste Version von Magnet AXIOM stehtab sofort für Kunden zum Download bereit! Führen Sie entweder ein Upgrade in der App durch oder gehen Sie zum Kundenportal, um AXIOM 3.0 herunterzuladen.
Unterstützung für APFS-Dateisystem
Das Apple File System (APFS) wurde ursprünglich 2016 in macOS Sierra (10.12) als Vorschau vorgestellt, ermöglichte den Zugriff auf Benutzer über die Terminal-App und wurde 2017 de facto der Nachfolger des alternden HFS+-Dateisystems in macOS High Sierra (10.13).
APFS baute auf seinem Vorgänger auf und wurde für Solid-State-Laufwerke optimiert, wobei der Schwerpunkt auf Verschlüsselung gelegt wurde. APFS unterstützt nativ die Verschlüsselung, während das HFS+-Dateisystem auf CoreStorage beruht. Während APFS Daten auf Dateisystemebene verschlüsselt, im Gegensatz zur Verschlüsselung von HFS+ auf Blockebene.
AXIOM 3.0 unterstützt sowohl HFS+ als auch APFS mit der Möglichkeit, auch FileVault 2-fähige Images zu entschlüsseln.
Nach der Entschlüsselung und Analyse werden den Prüfern zahlreiche neue macOS-spezifische Artefakte präsentiert, wie zum Beispiel:
- Betriebssysteminformationen Benutzerkonten
- Netzwerkprofile
- MRU-Dateien
- KnowledgeC
- Bluetooth-Geräte
- Müll
- Unter Quarantäne gestellte Dateien
- Spotlight-Kurzbefehle
- Installierte Anwendungen
- Finder-Sidebar-Elemente
- Täglich.Aus
- Netzwerk-Interfaces
- Benutzerdefinierte Menüpunkte
- Dock-Gegenstände
- Bash-Sessions
- Starte Agenten/Daemons
- Mitteilungen
- USB-Geräte
- FSEvents
Ermittler können auch das Mac-Dateisystem im File System Explorer von AXIOM durchsuchen, um die Eigenschaftsliste (plist) und gefundene Datenbanken zu überprüfen oder die im Artifact Explorer über Quelllinks bereitgestellten Informationen zu validieren
MacOS-Artefakte werden nur in AXIOM verfügbar sein, also kontaktieren Sie uns, wenn Sie von IEF upgraden möchten, um diese Funktionalität zu nutzen.
Hier sind einige der neuen verfügbaren macOS-Artefakte:
Bash-Sitzungen (Terminalverlauf)
Ähnlich der Eingabeaufforderung unter Windows bietet die Terminal-App unter macOS Benutzern eine Befehlszeilenschnittstelle zum Betriebssystem. Die Standard- Unix-Shell für macOS ist bash.
Der Bash -Verlauf befindet sich in /<users>//.bash_sessions
AXIOM stellt Informationen aus Bash-Sitzungen wieder her, einschließlich Benutzer, ausgeführte Befehle sowie Start- und Endzeit der Sitzung.
Prüfer, die die Bash-Historie untersuchen, müssen Folgendes beachten:
- Die Bash-Sitzungssequenzen hängen davon ab, wann die Shell im Vergleich zur Ausführungsreihenfolge geschlossen wurde.
- Zeitstempel von Bash-Sitzungen werden in AXIOM identifiziert durch:
- Spalte Startdatum/-uhrzeit: Term_session_id.historynewCreated
- Spalte Enddatum/-uhrzeit: Term_session_ID.history
Spotlight-Shortcuts
Mac-Benutzer nutzen seit Jahren die Schnellsuchfunktion, indem sie schnell die CMD ⌘ + Leertaste drücken, die ein Spotlight-Suchfenster wie oben gezeigt öffnet.
Unabhängig davon, ob der Benutzer nach einer bestimmten Datei oder Anwendung sucht, kann Spotlight eine Vorschau anzeigen und einen schnellen Zugriff ermöglichen. Normalerweise gibt es zwei Arten von Spotlight-Benutzern: diejenigen, die es nie verwenden, oder diejenigen, die es ständig zum Öffnen von Anwendungen und Dokumenten verwenden.
AXIOM zeigt die Spotlight-Suchen an, die auf dem Computer ausgeführt wurden. Das Artefakt „Spotlight Shortcuts“ kann Prüfern dabei helfen, die Geschichte ihrer Untersuchung zu erzählen, bis hin zur Eröffnung der fraglichen Anwendung oder Datei. Die Bereitstellung solcher Details zu einem Fall hilft wirklich, das Bild für nicht-technische Interessengruppen wie Jurys, Führungskräfte oder Personalabteilungen zu zeichnen.
Kürzlich verwendete Artikel & Finder MRU
Die neuen MRU-Artefakte für zuletzt verwendete Elemente und Finder für macOS unterstützen Prüfer dabei, eine Zeitleiste mit Ereignissen für den betreffenden Mac zu definieren. Die Finder MRU- und Connected Volumes-Artefakte enthalten Informationen aus der Datei com.apple.finder.plist, die verbundene Volumes sowohl von externen Medien (USBs) als auch von internen Volumes und Images bereitstellt. AXIOM stellt auch eine abgerufene Bestellung für die aufgeführten Artikel bereit.
Das Artefakt „Zuletzt verwendete Elemente“ enthält eine ganze Reihe von Informationen, die für die Fallbearbeitung relevant sind, einschließlich des Dateinamens der geöffneten Anwendung oder Datei und des Dateipfads des Artefakts. Genau wie das Finder- MRU-Artefakt liefert auch Kürzlich verwendete Gegenstände die Reihenfolge, auf die zugegriffen wurde, sowie den MRU-Typ.
Artefakte, die von den zuletzt verwendeten Elementen angezeigt werden, werden von mehreren Speicherorten abgerufen, einschließlich mehrerer .sfl1- und .sfl2-Dateien.
KnowledgeC
Ursprünglich als iOS-Artefakt in AXIOM 2.8 veröffentlicht, wir haben jetzt ein zusätzliches Artefakt für die KnowledgeC-Datenbank von macOS hinzugefügt. Lesen Sie hier mehr über dasiOS-KnowledgeC-Artefakt. Die Datenbank bietet Prüfern wertvolle Einblicke in die Anwendungs- und Gerätenutzungsstatistiken, einschließlich Anwendungsaktivität, Anwendungsfokus, Geräteladestatus, Safari-Browserverlauf, Gerätestatus und ob der Bildschirm aus- oder eingeschaltet war.
Die KnowledgeC-Datenbanken finden Sie unter macOS:
- /private/var/db/CoreDuet/Knowledge
- /Users/macintosh/Library/Application Support/Knowledge
Bleiben Sie dran, wir werden bald weitere Artefakte hinzufügen, die auf Macs gefunden wurden! Wenn Sie Artefakte in AXIOM unterstützt sehen möchten oder Fragen haben, zögern Sie bitte nicht, mich unter trey.amick@magnetforensics.com zu kontaktieren.