Análisis forense en sistemas Mac OS X

forensics_mac_osx.png

En un trabajo de investigación académica para la Universidad de Londres (Royal Holloway) realizado por Joaquín Moreno Garijo, éste ha publicado un documento basado en el que se detallan la recuperación de datos internos en Mac OS X usando técnicas de análisis forense.

El estudio se basa en la documentación y recuperación de datos persistentes generados por el sistema operativo, es decir, datos que Mac OS X genera y escribe en el sistema de ficheros, que no están publicamente documentado.

En el documento (PDF) podemos encontrar detalles sobre dónde el sistema operativo guarda dichos datos, que tipo de datos guarda y cómo extraer los mismos. Además en dicho documento, también podemos encontrar detalles técnicos acompañado de código fuente para el manejo de dichos datos.

El autor usa como herramienta base: Plaso, un framework multiplataforma escrito en Python orientado al análisis forense, y extiende dicha herramienta con nuevas funcionalidades para la interacción con las evidencias no documentadas de Mac OS X.

Joaquín clasifica las evidencias en dos categorías: las que almacenan el momemento de dicho evento (fecha y hora) y las que no. En la primera de dichas categorías, se explican el formato del sistema de Logs de Apple, el módulo de seguridad, lista de propiedades más relevantes, ficheros de control de CUPS IPP, UTMPX, etc. En la segunda de las categorías, la que agrupa los datos que no contienen marcas de tiempo, encontramos: cuentas de sistema, funcionalidad de autologin, atributo marcador de ficheros recientes, etc.

Al final del documento también podemos encontrar referencia a los scripts de Plaso, así como la definición de varias de las estructuras de datos.