En otras palabras, los datos que el sistema operativo OS X genera y almacena en el sistema de ficheros, y que no se encuentra a día de hoy públicamente documentado. En el documento académico se pueden encontrar los detalles sobre dónde OS X almacena los datos, qué tipos de datos guarda y, por supuesto, cómo extraerlos.
Figura 1: Categorías de datos con marca de tiempo y no
Joaquín ha utilizado Plaso como framework orientado al análisis forense y lo ha extendido para llevar a cabo la interacción con las evidencias no documentadas del sistema operativo de Apple. El autor ha clasificado las evidencias en dos categorías, las que almacena el momento de un evento, con su fecha y hora o marca de tiempo, y las que no.
En la primera se explica el formado del sistema de logs de Apple, el módulo de seguridad, la lista de propiedades más relevantes o los ficheros de control. En la segunda la que agrupa los datos que no contienen marcas de tiempo, por ejemplo cuentas de sistema, atributo de marcador de ficheros recientes, etcétera. Para obtener más información sobre los scripts utilizados podemos visitar el github dónde se han colgado.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...