El investigador español Joaquín Moreno Garijo ha publicado un documento de investigación académica, a través de la Royal Holloway University of London, en el que se puede encontrar el procedimeinto para llevar a cabo un análisis forense en OS X. En el documento se detalla la recuperación de datos internos en OS X utilizando técnicas de análisis forense. ¿Qué datos recupera? Cómo puede verse en el documento publicado por Joaquín, el estudio se basa en la recuperación de datos persistentes que han sido generados por el sistema operativo.
En otras palabras, los datos que el sistema operativo OS X genera y almacena en el sistema de ficheros, y que no se encuentra a día de hoy públicamente documentado. En el documento académico se pueden encontrar los detalles sobre dónde OS X almacena los datos, qué tipos de datos guarda y, por supuesto, cómo extraerlos.
En otras palabras, los datos que el sistema operativo OS X genera y almacena en el sistema de ficheros, y que no se encuentra a día de hoy públicamente documentado. En el documento académico se pueden encontrar los detalles sobre dónde OS X almacena los datos, qué tipos de datos guarda y, por supuesto, cómo extraerlos.
Figura 1: Categorías de datos con marca de tiempo y no |
Joaquín ha utilizado Plaso como framework orientado al análisis forense y lo ha extendido para llevar a cabo la interacción con las evidencias no documentadas del sistema operativo de Apple. El autor ha clasificado las evidencias en dos categorías, las que almacena el momento de un evento, con su fecha y hora o marca de tiempo, y las que no.
En la primera se explica el formado del sistema de logs de Apple, el módulo de seguridad, la lista de propiedades más relevantes o los ficheros de control. En la segunda la que agrupa los datos que no contienen marcas de tiempo, por ejemplo cuentas de sistema, atributo de marcador de ficheros recientes, etcétera. Para obtener más información sobre los scripts utilizados podemos visitar el github dónde se han colgado.
En la primera se explica el formado del sistema de logs de Apple, el módulo de seguridad, la lista de propiedades más relevantes o los ficheros de control. En la segunda la que agrupa los datos que no contienen marcas de tiempo, por ejemplo cuentas de sistema, atributo de marcador de ficheros recientes, etcétera. Para obtener más información sobre los scripts utilizados podemos visitar el github dónde se han colgado.
No hay comentarios:
Publicar un comentario