Análisis forense en sistemas Mac OS X
En un trabajo de investigación académica para la Universidad de Londres (Royal Holloway) realizado por Joaquín Moreno Garijo, éste ha publicado un documento basado en el que se detallan la recuperación de datos internos en Mac OS X usando técnicas de análisis forense.
El estudio se basa en la documentación y recuperación de datos persistentes generados por el sistema operativo, es decir, datos que Mac OS X genera y escribe en el sistema de ficheros, que no están publicamente documentado.
En el documento (PDF) podemos encontrar detalles sobre dónde el sistema operativo guarda dichos datos, que tipo de datos guarda y cómo extraer los mismos. Además en dicho documento, también podemos encontrar detalles técnicos acompañado de código fuente para el manejo de dichos datos.
El autor usa como herramienta base: Plaso, un framework multiplataforma escrito en Python orientado al análisis forense, y extiende dicha herramienta con nuevas funcionalidades para la interacción con las evidencias no documentadas de Mac OS X.
Joaquín clasifica las evidencias en dos categorías: las que almacenan el momemento de dicho evento (fecha y hora) y las que no. En la primera de dichas categorías, se explican el formato del sistema de Logs de Apple, el módulo de seguridad, lista de propiedades más relevantes, ficheros de control de CUPS IPP, UTMPX, etc. En la segunda de las categorías, la que agrupa los datos que no contienen marcas de tiempo, encontramos: cuentas de sistema, funcionalidad de autologin, atributo marcador de ficheros recientes, etc.
Al final del documento también podemos encontrar referencia a los scripts de Plaso, así como la definición de varias de las estructuras de datos.
Buscar
Entradas Recientes
- Posts
- Reemplazando la bateria del AirTag
- OpenExpo Europe décima edición, 18 de mayo: El Epicentro de la Innovación y la Transformación Digital
- Docker Init
- Kubernetes para profesionales
- Agenda: OpenExpo Europe 2022 llega el 30 de junio en formato presencial
- Libro 'Manual de la Resilencia', de Alejandro Corletti, toda una referencia para la gestión de la seguridad en nuestros sistemas
- Mujeres hackers en ElevenPaths Radio
- Creando certificados X.509 caducados
- Generador de imágenes Docker para infosec