In iX 10/2011 ist ein Artikel über forensische Analysen von MacOS-Systemen erschienen. Maßgebliche Autorin ist meine Kollegin Nadja Kickinger, die in unserem Forensic Technology Team arbeitet. Aus Platzgründen haben es leider nicht alle Informationen in den Artikel geschafft. Hier finden sich noch mehr Informationen:
Zusätzlich zu den im Artikel erwähnten plist-Beispielen sind die folgenden ebenfalls für den Forensiker von Interesse:
plists
| Com.apple.iChat.plist | Infos zu Chatpartnern und Chats in iChat |
| Com.apple.iMovieApp.plist | Details zum letzten Projekt, welches in iMovie erstellt wurde (Speicherpfad, Projektname, Editor, etc.) |
| Com.apple.iPhoto.plist | Infos über Speicherpfade der Fotos, letzter verwendeter Drucker, um ein Bild mit iMovie zu drucken, etc. |
| Com.apple.sidebarlists.plist | Favoriten in der Sidebar (Server, Ordner) |
Weiterhin sollte sich der interessierte Leser mit folgenden Werkzeugen beschäftigen.
| MacQuisition Boot CD 2.0 | http://mac.softpedia.com/get/System-Utilities/MacQuisition-Boot-CD.shtml |
| iPhone Tracker | http://petewarden.github.com/iPhoneTracker/ (bereits hier vorgestellt) |
| Disk Arbitrator | https://github.com/aburgh/Disk-Arbitrator |
Weitere Artefakte:
| /Users//Library/Calenders/GUID/Events | Users’s iCal calender events |
| /Users//.Trash | Papierkorb des Benutzers: gelöschte Dateien und Ordner |
Weiterführende Links mit interessanten Infos zu OS X Forensik:
E01-Images unter Mac OS X mounten http://kleinco.com.au/thoughts-events/item/mounting-split-disk-images-under-osx
Hier eine Sammlung weiterer Werkzeuge zu MAC-Forensik :
http://www.pollink.de/forensik/mac-forensic/
Gruß
Mir ist noch eine Ergänzung zugemailt worden. Unter http://www.tatortgruppe.de/iPlister.shtml findet sich ein Werkzeug zur Analyse von Plist-Dateien. Das Tools selbst läuft aber nur unter Windows.