Eyewitness Forensic - Mac OS X / iOS Forensics Teil 1
Mac OS X / iOS Systeme und deren Bedeutung für die IT Forensik
Mittlerweile haben sich Apples Nischenprodukte auch in Deutschland so etabliert, dass eine Vielzahl von Untersuchungen von Apple Systemen auch im Bereich der IT Forensik durchgeführt werden müssen. Das stellt für viele IT-Forensik Analysten die bisher nur mit Windows Systemen in Kontakt geraten sind eine Hürde dar. Wer bereits Erfahrungen mit Linux/Unix Systemen vorweisen kann, wird sehr schnell den Ursprung der Mac Systeme erkennen. Für die reinen Windows Analysten gibt es einige Punkte zu beachten.
Glücklicherweise sind aber im Bereich der IT-Forensik auch mehr und mehr deutschsprachige Veröffentlichungen zum Bereich der Mac OSX aufzufinden. Inspiriert vom Artikel "Spurensuche auf Mac OS X" aus der iX 10/2011 und den weiterführenden Hinweisen von Herrn Geschonneck auf "http://computer-forensik.org/2011/09/14/macos-forensics/" habe ich mich entschlossen mein bereits eingestaubtes Mac Forensik Tool iPlister aus der Versenkung zu holen und es für alle IT-Forensiker frei zum Download zu stellen.
Ursprünglich stammt es aus einer iPhone Forensik Tool Suite von mir, die ich aber auf Grund fehlender Zeit und sich ständig verändernder Datenstrukturen je nach iOS Version nicht weiter pflegen kann. Daher sollte dieses Tool auch nur als Hilfe dienen. Eine Überprüfung und Evaluierung der Ergebnisse sollte wie bei allen Tools ab und an von Hand durchgeführt werden.
Einige Hinweise zu den Mac OS X Verzeichnisstrukturen sowie der Speicherung von Einstellungen unter Apple Systemen und speziell Hinweise zum Safari 4 Browser sollen diesen Release abrunden. Da eine stetige Angleichung von Apples Mac OS X an das iPhone, iPod und iPad Betriebssysteme iOS erfolgt, können viele der folgenden Hinweise auch auf diese Systeme übertragen werden.
Verzeichnisstrukturen von Mac OS X / iOS Systemen
Die Verzeichnisstrukturen von Mac OS X / iOS Systemen lassen deutlich den UNIX-Ursprung erkennen. Unterschiede gibt es jedoch bei den von Apple entwickelten Bestandteilen.
Wie auch bei Microsoft Windows wird eine Trennung von Anwendungen, Systemdaten und Benutzerdaten vorgenommen.
Anwendungen befinden sich in dem Verzeichnis Application im Root Verzeichnis.
Benutzerdaten befinden sich im jeweiligen Unterverzeichnis des Benutzers im Verzeichnis Users im Root Verzeichnis.
Systemdaten finden sich zum im Verzeichnis „…/System/Library/“ und zum andren im „…/Library“ Verzeichnis im Root Verzeichnis selbst.
Die für jeden Benutzer gültigen Systemeinstellungen werden im Benutzerverzeichnis ebenfalls im Unterverzeichnis „…/Users/[Name]/Library“ abgelegt.
Auch ein dem Anwendungsdatenverzeichnis von Windows Systemen gleichgesetztes Verzeichnis lässt sich auf Apples Systemen auffinden. Im Library Benutzerverzeichnis existiert ein Unterverzeichnis mit dem Namen „Application Support“. Hier befinden sich weitere Benutzerdaten für die installierten Anwendungen. Unter anderem kann hier beispielsweise auch des Profilverzeichnis eines installierten Mozilla Firefox ermittelt werden.
Mac OS X Einstellungen
Auf Mac OS X / iOS Systemen werden Systemeinstellungen nicht in einer Datenbank wie der Registry auf Windows Systemen abgelegt. Vielmehr werden diese ähnlich wie in vergangenen Zeiten unter Windows, als Einstellungen in *.ini Dateien abgelegt wurden, auf Apple Systemen in *.plist Dateien, den Property Listen gespeichert.
Diese Dateien sind vom Aufbau XML Dateien mit Apple spezifischen Schlüsselpaaren. Es besteht jedoch die Möglichkeit diese Property Listen auch als binär codierte Dateien abzulegen, um so Speicherplatz zu sparen. Das Format der Property Listen ist von Apple in der Mac OS X SDK dokumentiert. Für eine Untersuchung ist es notwendig die binär codierten Property Listen in eine XML basierte Datei umzuwandeln. Arbeitet man direkt auf einem Mac als Untersuchungssystem, so kann man diese Property Listen auch direkt einsehen. Auf Windows basierten System ist es notwendig dazu zusätzliche Tools zum Einsatz zu bringen, um die Property Listen einzusehen. Eines davon ist der Plist Editor der Firma iPodRobot (http://www.icopybot.com/plist-editor.htm).
Auf Grund der mittlerweile fortschreitenden Verbreitung von Apple Systemen, habe ich bereits früh feststellen müssen, dass die Untersuchung von Apple Systemen mit X-Ways Forensics schnell an seine Grenzen stößt, vor allem wenn es darum geht die Property Listen zu untersuchen. Daher wurde von mir ein Tool programmiert, welches mir als Viewer unter X-Ways die Möglichkeit bietet, relativ schnell und einfach die Property Listen ( auch die binär codierten) einzusehen und von speziellen Dateien, wie etwa denen des Safari Browsers Tabellen zu erzeugen. Denn eine reine XML basierte Property Liste bietet mir keine reine Tabellenübersicht, mit der man sehr schnell und übersichtlich besuchte Webseiten darstellen kann. Die Tabellenform eignet sich auch auf Grund der Menge der Einträge für eine Filterung in einem Tabellenkalkulationsprogramm, wie etwa MS Excel.
Verlaufseinträge des Safari 4 Browser
Safari speichert seien Internetverlaufsdaten ebenfalls in den Anwendungsdaten des jeweiligen Benutzers im Verzeichnis „…/Library/Safari/“ in der Datei history.plist ab.
Der Safari Browser speichert hier auch sogenannte Redirection URL's pro aufgerufener Seite. Dies ist nützlich wenn zum Beispiel ein Popup automatisch auf strefrechtliche relevante Inhalte weiterleitet. So kann zum einen die Original verweisende URL und die als Popup aufgerufene URL in Verbindung gebracht werden.
Die Lesezeichen befinden sich in der Datei bookmarks.plist gespeichert. Auf iOS 4.x Systemen kann es sich allerdings auch um eine SQLite Datenbank bookmarks.db handeln. Desweiteren befinden sich hier noch die Downloads in einer weiteren Datei downloads.plist. Die Cookies sind Anwendungsübergreifend unter ".../Library/Cookies" als cookies.plist abgelegt.
Der Browser Cache des Safari Browsers befindet sich in einer SQLite Datenbank caches.db im Verzeichnis „../Caches/Safari" und enthält die zwischengespeicherten Daten in Blob Datenbankfeldern. Diese können mit jedem beliebigen SQLite Datenbanktool eingesehen werden. Ich präferiere dazu den SQLiteMan von "http://sqliteman.com", denn dieser bietet mir dir Möglichkeit Blob Datenfelder auch gleich als Bild einzusehen oder gegebenenfalls binär zu exportieren. Hier noch kurz der entsprechende Select Befehl um die Tabelle abzufragen: "Select * from cfurl_cache_blob_data, cfurl_cache_response where cfurl_cache_blob_data.entry_ID = cfurl_cache_response.entry_ID;". Die zwischengespeicherten Daten befinden sich in der receiver_data Spalte.
Eine Besonderheit des Apple Safari Browsers besteht darin, dass er von allen besuchten Webseiten die Inhalte des Browserfensters als Bilddatei ablegt. Dabei legt er jeweils ein vollauflösendes Bild als PNG Datei und eine Thumbnail als JPEG ab. Die so abgelegten Webseiten Bildschirmabzüge sind ein Bestandteil von Safari 4 Top Sites Feature. Die Bildschirmabzüge befinden sich in den Anwendungsdaten des Benutzers im Verzeichnis „../Caches/Safari/Webpage Previews“ auf iOS auch unter „../Caches/Safari/.
Da die hier aufgeführten Internet Browser Dateien des Safari Browsers Plattformübergreifend zur Verfügung stehen, können die hier angesprochenen Verlaufsdateien, unabhängig vom genutzten Betriebssystem, auch auf einem Windows Betriebssystem mit genutzten Safari 4 Browser aufgefunden und mit den gleichen Analysewerkzeugen eingesehen und untersucht werden.
©2008-2011 Eyewitness Forensic Software | Apple, iPhone, iPod, iPad, Mac OS X and the Apple Logo are trademarks of Apple Inc. USA