Centre de Ressources

Manuels

Prise en charge du système de fichiers APFS et des nouveaux artéfacts Mac dans Magnet AXIOM 3.0

    Magnet AXIOM entame sa troisième année d’existence,C’est pourquoi, nous avons travaillé très dur pour faire de Magnet AXIOM 3.0 une version exceptionnelle, conçue pour prendre en charge un nouveau système de fichiers et pour ajouter la prise en charge d’une multitude de nouveaux artéfacts.

    Avec un nouvel explorateur puissant de chronologie, une catégorisation média remaniée (ProjectVic/CAID) et l’ajout de la prise en charge cloud pour Slack, les retours de mandat et « Télécharger vos informations » de Facebook, ainsi que les acquisitions sur Twitter, AXIOM 3.0 avait déjà beaucoup à offrir. Mais nous sommes vraiment ravis d’introduire également la prise en charge complète pour macOS et APFS. Dans ce guide, nous allons vous présenter le système de fichiers APFS et les nouveaux artéfacts Mac qui sont pris en charge dans AXIOM 3.0.

    Les clients peuvent désormais télécharger la toute dernière version de Magnet AXIOM ! Faites la mise à jour dans l’application ou rendez-vous sur le Portail client  pour télécharger AXIOM 3.0.

    Prise en charge du système de fichiers APFS

    Mac image

    Le système de fichiers Apple (APFS) a été inauguré à l’origine avec macOS Sierra (10.12) en 2016, offrant un accès aux utilisateurs via l’application Terminal App et devenant de facto en 2017 le successeur du système de fichiers HFS+ vieillissant dans macOS High Sierra (10.13).

    L’APFS a été conçu pour prendre la relève de son prédécesseur en étant optimisé pour les disques SSD, plus particulièrement sur les disques chiffrés. L’APFS prend en charge le chiffrement de façon native alors que le système de fichiers HFS+ avait recours à CoreStorage. L’APFS chiffre les données au niveau du système de fichiers par opposition au chiffrement effectué par HFS+ au niveau du bloc.

    AXIOM 3.0 prend en charge HFS+ et l’APFS, avec la capacité de déchiffrer également des images avec FileVault 2.

    Après avoir effectué le décryptage et l’analyse, les examinateurs recevront plusieurs nouveaux artéfacts spécifiques à macOS, tels que :

    • Comptes utilisateurs Information OS
    • Profils réseau
    • Fichiers MRU
    • KnowledgeC
    • Appareils Bluetooth
    • Corbeille
    • Fichiers en quarantaine
    • Raccourcis Spotlight
    • Applications installées
    • Éléments de la barre latérale dans Finder
    • Daily.Out
    • Interfaces réseau
    • Éléments de menu personnalisé
    • Articles de socle
    • Sessions Bash
    • Démons/agents de lancement
    • Messages
    • Périphériques USB
    • FSEvents

    Les enquêteurs peuvent également parcourir le système de fichiers Mac au sein de l’explorateur du système de fichiers d’AXIOM pour examiner des listes de propriétés (plist) et des bases de données trouvées ou pour valider les informations fournies dans l’explorateur d’artéfact via des liens sources.

    Les artéfacts MacOS seront uniquement disponibles dans AXIOM. Alors, contactez-nous si vous souhaitez effectuer la mise à jour depuis IEF pour profiter de cette fonctionnalité.

    Voici quelques-uns des nouveaux artéfacts macOS disponibles :

    Sessions Bash (historique du terminal)

    Comparable à l’invite des commandes sur Windows, l’application Terminal App sur macOS fournit aux utilisateurs une interface de ligne des commandes pour le système d’exploitation. Par défaut, le shell Unix pour macOS est le bash.

    L’historique bash peut être trouvé dans /<users/>/.bash_sessions

    AXIOM récupère des informations issues des sessions bash, notamment l’utilisateur, les commandes exécutées, ainsi que l’heure de début et de fin de la  session.

    Les examinateurs enquêtant sur l’historique bash doivent connaître les éléments suivants :

    • Les séquences de session bash dépendent du moment où le shell a été fermé par rapport à l’ordre d’exécution.
    • Les horodatages de session bash sont identifiés dans AXIOM par :
      • Colonne Date/Heure de début : Term_session_id.historynewCreated
    • Colonne Date/Heure de fin : Term_session_ID.history

    Raccourcis Spotlight

    Raccourcis Spotlight

    Pendant plusieurs années, les utilisateurs de Mac ont utilisé la fonctionnalité de recherche rapide en appuyant simplement sur les touches CMD ⌘+barre d’espacement, ce qui ouvre une fenêtre de recherche Spotlight comme indiqué ci-dessus.

    Lorsque l’utilisateur cherche un fichier ou une application spécifique, Spotlight peut lui fournir un aperçu ainsi qu’un accès rapide. Il existe généralement deux types d’utilisateurs Spotlight : ceux qui ne l’ont jamais utilisé ou ceux qui l’utilisent constamment pour ouvrir des applications et des documents.

    AXIOM affichera les recherches Spotlight qui ont été exécutées sur la machine. L’artéfact Raccourcis Spotlight peut aider les examinateurs à relater leur enquête, en précisant notamment comment l’application ou le fichier en question a été ouvert. Fournir de tels détails dans un dossier aide vraiment à dresser le tableau de la situation pour les parties prenantes dépourvues de connaissances techniques telles que les jurys, la direction ou les RH.

    Éléments récemment utilisés et Finder MRU

    Les nouveaux artéfacts Éléments récemment utilisés et Finder MRU pour macOS aident les examinateurs à définir une chronologie des événements pour le Mac en question. Les artéfacts Finder MRU et Volumes connectés apportent des informations issues de la liste com.apple.finder.plist, ce qui fournit des volumes connectés provenant à la fois de médias externes (périphériques USB) ou d’images et de volumes internes. AXIOM fournira également une commande accédée pour les éléments listés.

    L’artéfact Éléments récemment utilisés contient une mine d’informations pertinentes pour le dossier, y compris le nom de fichier de l’application ou du fichier ouvert ainsi que le chemin d’accès au fichier de l’artéfact en question. Tout comme l’artéfact Finder MRU, les Éléments récemment utilisés fourniront aussi la commande accédée, ainsi que le type de MRU.

    Les artéfacts affichés par les Éléments récemment utilisés sont extraits de nombreux emplacements, notamment plusieurs fichiers .sfl1 et .sfl2.

    Éléments récemment utilisés

    KnowledgeC

    Lancé à l’origine en tant qu’artéfact iOS dans AXIOM 2.8, un artéfact supplémentaire a maintenant été ajouté pour la base de données KnowledgeC qui se trouve sur macOS. Apprenez en plus sur l’artéfact knowledgeC iOS ici. La base de données fournit de précieuses observations pour les examinateurs concernant les statistiques d’utilisation d’une application et d’un appareil, notamment l’activité de l’application, les priorités de l’application, les états de chargement de l’appareil, l’historique du navigateur Safari, les états de branchement de l’appareil, ainsi que le statut de l’écran (allumé ou éteint).

    Les bases de données knowledgeC sont accessibles sur macOS :

    • /private/var/db/CoreDuet/Knowledge
    • /Users/macintosh/Library/Application Support/Knowledge
    KnowledgeC Database

    Restez à l’écoute, nous ajouterons bientôt d’autres artéfacts trouvés sur Mac ! Si vous souhaitez que certains artéfacts soient pris en charge dans AXIOM ou si vous avez des questions, n’hésitez pas à me contacter à l’adresse trey.amick@magnetforensics.com.

    Holo, transparent letter M

    Abonnez-vous dès aujourd’hui pour recevoir directement les actualités de Magnet Forensics concernant les dernières mises à jour de produits, les tendances du secteur et les nouveautés de l’entreprise.

    Commencez dès aujourd’hui à moderniser vos enquêtes numériques.

    Haut