La ruta de archivos dentro del perfil de un usuario localizada en ‘~/Library/Preferences/’ suele ser utilizada en los sistemas Mac OS X como la biblioteca de configuraciones, preferencias y datos internos de las aplicaciones que utiliza el usuario, al mismo estilo que las ramas del registro en los sistemas Microsoft Windows que están dedicadas a almacenar los datos de las configuraciones de las aplicaciones en el entorno de los usuarios, es decir: HKEY_USERS o HKEY_CURRENT_USERS.En el caso de hoy, nos centraremos en el fichero ‘~/Library/Preferences/com.apple.finder.plist’. A los usuarios de Windows podríamos decirles que es el equivalente a la clave de registro ‘HKLM\System\ControlSet00x\Enum\USBSTOR’ y ‘HKLM\System\MountedDevices’. En otras palabras, podemos visualizar todos los volúmenes que han sido montados en nuestro equipo desde el primer día que fue utilizado hasta la actualidad pero en este caso, por un determinado usuario.
Cuando hablamos de volúmenes montados en sistemas Mac OS X nos referimos tanto a dispositivos de almacenamiento USB, CDs o DVDs introducidos como a los ficheros .dmg o los volúmenes TrueCrypt montados. Toda esta información es realmente útil durante un proceso de análisis forense, ya que muchos ficheros descargados de Internet vienen en formato de ficheor .dmg y pudiera uno de ellos ser el reponsable de algún mal estado en una máquina en estudio.
 |
| Figura 1: Volumenes montados vistos en la previsualización con Finder de com.apple.finder.plist |
El fichero está en formato .plist, y desde el propio Finder se puede ver el contenido en la previsualizació, pero si quieres editarlo, puedes usar la aplicación ‘Property List Editor’ – localizada en ‘Developer/Applications/Utilities/Property List Editor.app’, la cual se encarga de parsear el fichero a formato XML y representarlo de forma gráfica facilitando su estudio.
 |
| Figura 2: Visualización con Property List Editor |
Os recordamos también que para sistemas Microsoft Windows existen muchas herramientas para tratar con ficheros .plist, como por ejemplo la utilidad gratuita Plist Editor for Windows.
No hay comentarios:
Publicar un comentario