Mac OS Hacking
Professionelle Werkzeuge und Methoden zur forensischen Analyse des Apple-Betriebssystems
Published on 28. August 2017
416 pages
978-3-645-20551-1 (ISBN)
Description
Dieses Buch ist eine umfangreiche Anleitung und Hilfe für alle IT-Forensiker, Daten-Analysten und in-teressierten Mac-Nutzer, die erfahren wollen, welche unentdeckten Möglichkeiten im Apple-Betriebssystem schlummern. Es liefert fundiertes Grundlagenwissen und führt durch alle wichtigen Prozesse einer forensischen Betriebssystem-Analyse.
Im Verlauf des Buchs lernen die Leser verschiedene Sicherungs- und Analysetechniken für digitale Spuren kennen: Neben der Lokalisierung und Kategorisierung digitaler Spuren beschreibt es praktische Analyse-Methoden wie das Aufspüren von kritischen Informationen in Plist- oder SQLite-Dateien oder die Identifikation von Passwörtern durch Sicherung und Analyse des Hauptspeichers.
In seinen 12 umfangreichen Kapiteln widmet sich das Buch auch den Dateisystemen APFS und HFS+, der Skriptsprache AppleScript, Mac OS X Server sowie der fortgeschrittenen analytischen Nutzung des Terminals. In zahlreichen Übungen, die auch zum Download bereitstehen, können die Leserinnen und Leser das neu gewonnene Wissen direkt in praxisnahen Szenarien anwenden.
Im Verlauf des Buchs lernen die Leser verschiedene Sicherungs- und Analysetechniken für digitale Spuren kennen: Neben der Lokalisierung und Kategorisierung digitaler Spuren beschreibt es praktische Analyse-Methoden wie das Aufspüren von kritischen Informationen in Plist- oder SQLite-Dateien oder die Identifikation von Passwörtern durch Sicherung und Analyse des Hauptspeichers.
In seinen 12 umfangreichen Kapiteln widmet sich das Buch auch den Dateisystemen APFS und HFS+, der Skriptsprache AppleScript, Mac OS X Server sowie der fortgeschrittenen analytischen Nutzung des Terminals. In zahlreichen Übungen, die auch zum Download bereitstehen, können die Leserinnen und Leser das neu gewonnene Wissen direkt in praxisnahen Szenarien anwenden.
More details
Other editions
Additional editions
Marc Brandt
Mac OS Hacking
Book
08/2017
1st Edition
FRANZIS GmbH
€40.00
Article exhausted; check different version
Person
Der Autor Marc Brandt ist an der Hochschule für Polizei Baden-Württemberg als Dozent tätig. Hier hält er schwerpunktmäßig Seminare zu den Themengebieten Mac, Mobile Devices und Network Forensics.
Marc Brandt begann seine Laufbahn als Streifenpolizist. Ein Jahr später wechselte er zur Kriminalpolizei. Bereits während seiner Tätigkeit bei einer Spezialdienststelle der Polizei Baden-Württemberg konnte er seine technische Begeisterung einbringen und vertiefen. Nach seinem Wechsel zum Polizeipräsidium Mannheim ergriff er 2007 die Chance auf eine Beschäftigung in der IT-Forensik. Seit diesem Zeitpunkt bildet er sich stetig weiter und krönte seine Leidenschaft für digitale Spuren im Jahr 2015 mit dem Abschluss M. Sc. in Digitaler Forensik an der Hochschule Albstadt-Sigmaringen.
Im Rahmen seiner Tätigkeit als Dozent erstellte er bereits mehrere Skripte und Papers für IT-Experten innerhalb der Polizei und führte entsprechende Seminare durch. Das Buch "Mac OS Hacking" ist ein Ergebnis seiner praktischen Erfahrungen und seiner lehrenden Tätigkeit.
Marc Brandt begann seine Laufbahn als Streifenpolizist. Ein Jahr später wechselte er zur Kriminalpolizei. Bereits während seiner Tätigkeit bei einer Spezialdienststelle der Polizei Baden-Württemberg konnte er seine technische Begeisterung einbringen und vertiefen. Nach seinem Wechsel zum Polizeipräsidium Mannheim ergriff er 2007 die Chance auf eine Beschäftigung in der IT-Forensik. Seit diesem Zeitpunkt bildet er sich stetig weiter und krönte seine Leidenschaft für digitale Spuren im Jahr 2015 mit dem Abschluss M. Sc. in Digitaler Forensik an der Hochschule Albstadt-Sigmaringen.
Im Rahmen seiner Tätigkeit als Dozent erstellte er bereits mehrere Skripte und Papers für IT-Experten innerhalb der Polizei und führte entsprechende Seminare durch. Das Buch "Mac OS Hacking" ist ein Ergebnis seiner praktischen Erfahrungen und seiner lehrenden Tätigkeit.
Content
- Mac OS Hacking
- Impressum
- Über den Autor
- Vorwort
- Inhaltsverzeichnis
- 1 Ein Mac OS Lab aufsetzen
- 1.1 System Integrity Protection deaktivieren
- 1.2 Einen Übungs-Account einrichten
- 1.2.1 Einen neuen Benutzer-Account erstellen
- 1.2.2 Gatekeeper-Funktionalität deaktivieren
- 1.3 Programme im Mac OS Lab installieren
- 1.3.1 Java SE
- 1.3.2 Xcode
- 1.3.3 Fuse
- 1.3.4 Mac Ports
- 1.3.5 Homebrew
- 1.3.6 Libewf
- 1.3.7 Xmount
- 1.3.8 Sleuth Kit
- 1.3.9 SQLite-Browser
- 1.3.10 Hex-Editoren
- 1.3.11 Github
- 1.3.12 Python
- 1.4 Den Übungs-Account wieder löschen
- 2 Wichtige Hintergrundinformationen
- 2.1 Das Betriebssystem Mac OS
- 2.2 Applelution in Cupertino
- 2.2.1 Apple-Betriebssystem-Modelle
- 2.3 Mac OS X intern
- 2.3.1 Historie der Mac-OS-X-Versionen
- 2.3.2 Darwin - das Grundgerüst von Mac OS
- 2.4 Die Mac-OS-Architektur
- 2.4.1 HFS+
- 2.4.2 HFS+ case-sensitive
- 2.4.3 /bin
- 2.4.4 /sbin
- 2.4.5 /usr
- 2.4.6 /etc
- 2.4.7 /dev
- 2.4.8 /tmp
- 2.4.9 /var
- 2.4.10 /Applications
- 2.4.11 /Developer
- 2.4.12 /Library
- 2.4.13 /Network
- 2.4.14 /System
- 2.4.15 /Users
- 2.4.16 /Volumes
- 2.4.17 /Cores
- 2.4.18 Apple EFI
- 2.4.19 Launchd
- 2.4.20 Prozesse und Threads
- 2.4.21 Mach-O-Binaries
- 2.4.22 Bundles und Packages
- 2.4.23 Applications
- 2.4.24 Frameworks
- 2.5 Mac-OS-Sicherheitskonzepte
- 2.5.1 Code Signing
- 2.5.2 Sandboxing
- 2.5.3 Gatekeeper
- 2.5.4 File Quarantine
- 2.5.5 System Integrity Protection
- 2.5.6 XPC
- 2.6 Zusammenfassung
- 2.7 Übung: Mac-OS-Handling
- 3 Das Mac-OS-Dateisystem im Fokus
- 3.1 Solid State Disks
- 3.2 GUID-Partitionsschema
- 3.2.1 GUID Partition Table
- 3.2.2 Analyse der GUID Partition Table
- 3.2.3 Zusammensetzen von Fusion-Drive-Laufwerken
- 3.3 Hierarchical File System Plus (HFS+)
- 3.3.1 Speichersystematik
- 3.3.2 HFS+ Special Files
- 3.3.3 Extraktion von HFS+ Special Files
- 3.3.4 Volume Header
- 3.3.5 Allocation File
- 3.3.6 B-Baum-Struktur
- 3.3.7 Catalog File
- 3.3.8 Extents Overflow File
- 3.3.9 Attributes File
- 3.3.10 Journal
- 3.3.11 Dateikomprimierung
- 3.3.12 Hardlinks
- 3.3.13 Mac-OS-Zeitstempel
- 3.4 Apple File System (APFS)
- 3.4.1 Flexible Partitionen
- 3.4.2 Dateisystem-Snapshots
- 3.4.3 Dateien und Verzeichnisse klonen
- 3.4.4 Verschlüsselung
- 3.4.5 Eine APFS-Volume erstellen
- 3.4.6 Partitionsschema
- 3.4.7 Container-Superblock
- 3.4.8 Volume Header
- 3.4.9 Forensische Ansätze
- 3.4.10 Ausblick auf das APFS
- 3.5 Übung: Partitionen und Dateisystem
- 4 Forensische Analyse von Mac OS
- 4.1 Stand der Forschung
- 4.2 Modelle der Digitalen Forensik
- 4.3 Der investigative Prozess nach Casey
- 4.3.1 Der investigative Prozess für Mac-Computer
- 4.4 Live Response
- 4.4.1 Maßnahmen bei eingeschalteten Mac-Computern
- 4.4.2 Vertrauenswürdige Binaries
- 4.4.3 Sammlung volatiler Daten (Triage)
- 4.4.4 Virtuelle Maschinen
- 4.5 Übung: Live Response
- 4.5.1 RAM-Sicherung
- 4.5.2 Logische Sicherung
- 4.6 Post-Mortem-Analyse
- 4.6.1 Forensische Abbilder von Datenträgern
- 4.6.2 Live-CD/-DVD oder bootbarer USB-Stick
- 4.6.3 Sicherung von MacBooks mit NVMe-Controllern
- 4.6.4 Sicherung über die Recovery-Partition
- 4.6.5 Target Disk Mode
- 4.6.6 FileVault 2 und Fusion Drive
- 4.6.7 Open-Firmware-Passwort
- 4.6.8 Disk Arbitration
- 4.7 Sicherungsstrategien für Mac-Computer
- 4.8 Übung: Sicherung erstellen
- 4.8.1 Sicherung mit dd/dcfldd
- 4.8.2 Sicherung mit ewfacquire
- 4.8.3 Sicherung mit dem FTK Imager
- 5 Kategorisierung digitaler Spuren
- 5.1 Persistente Spuren
- 5.2 Mac-spezifische Formate
- 5.2.1 Property List Files
- 5.2.2 NSKeyedArchiver-Format
- 5.2.3 SQLite
- 5.2.4 Analyse von SQLite
- 5.2.5 Disk Images
- 5.2.6 Forensische Abbilder mounten
- 5.3 System- und lokale Domäne
- 5.3.1 Systeminformationen
- 5.3.2 Nutzerkonten
- 5.3.3 Netzwerkeinstellungen
- 5.3.4 Software-Installationen
- 5.3.5 Drucker
- 5.3.6 Keychains
- 5.3.7 Firewall
- 5.3.8 Launch Agents
- 5.3.9 Launch Daemons
- 5.3.10 Freigaben
- 5.4 Nutzer-Domäne
- 5.4.1 Nutzer-Account-Informationen
- 5.4.2 Papierkorb
- 5.4.3 Zuletzt genutzte Objekte
- 5.4.4 Dock
- 5.4.5 Spaces
- 5.4.6 Anmeldeobjekte von Nutzern
- 5.4.7 SSH
- 5.4.8 Apps
- 5.4.9 Kontakte
- 5.4.10 Kalender
- 5.4.11 Mail
- 5.4.12 Safari
- 5.4.13 Fotos
- 5.4.14 Nachrichten
- 5.4.15 FaceTime
- 5.4.16 Notizen
- 5.4.17 Continuity
- 5.4.18 Siri
- 5.4.19 Applikationen von Drittanbietern
- 5.5 Netzwerk-Domäne
- 5.6 Zusammenfassung
- 6 Informationen aus Log-Dateien
- 6.1 Log-Dateien des Betriebssystems
- 6.1.1 Nutzer-/Account-Informationen
- 6.1.2 Software-Installationen
- 6.1.3 Filesystem Check
- 6.1.4 Storage Manager
- 6.1.5 WiFi.log
- 6.1.6 System.log
- 6.1.7 Periodische Log-Dateien
- 6.1.8 Apple System Logs
- 6.1.9 Audit-Logs
- 6.1.10 Unified Logging
- 6.2 Log-Dateien der Nutzer-Domäne
- 6.2.1 Verbundene iOS-Geräte
- 6.2.2 FaceTime-Verbindungen
- 6.2.3 Übersicht
- 7 Hack the Mac
- 7.1 Mac-OS-Nutzerpasswörter
- 7.1.1 Cracking des Nutzerpassworts mit Dave Grohl
- 7.1.2 Cracking des Nutzerpassworts mit Hashcat
- 7.2 FileVault 2 - Full Disk Encryption
- 7.2.1 FileVault2-Cracking mit JtR - EncryptedRoot.plist.wipekey
- 7.2.2 FileVault2-Cracking mit JtR - Image-Datei
- 7.3 Mac-OS-Keychains cracken
- 7.3.1 Angriff auf den Nutzerschlüsselbund mit JtR
- 7.4 Verschlüsselte Disk Images
- 7.4.1 Angriff auf eine verschlüsselte DMG-Datei mit JtR
- 7.4.2 Angriff auf eine verschlüsselte Sparsebundle-Datei mit JtR
- 7.5 Übung: Analyse und Cracking - Teil 1
- 7.5.1 Szenario
- 7.5.2 Lösung: Szenario
- 7.5.3 Fortsetzung des Szenarios
- 7.5.4 Lösung: Fortsetzung des Szenarios
- 8 Anwendungsanalyse unter Mac OS
- 8.1 Tools zur Anwendungsanalyse
- 8.1.1 Mac OS: Aktivitätsanzeige
- 8.1.2 List open Files: lsof
- 8.1.3 Fs_usage
- 8.1.4 Xcode: Instruments
- 8.1.5 DTrace
- 8.1.6 FSmonitor
- 8.1.7 DaemonFS
- 8.2 Modell zur Analyse von Applikationen unter Mac OS
- 8.3 Anwendungsanalyse der Nachrichten-App
- 8.3.1 Analyseumgebung
- 8.3.2 Anwendungsanalyse der Nachrichten-App
- 8.3.3 Ansätze für eine forensische Analyse
- 8.3.4 Zusammenfassung
- 9 Random-Access-Memory-Analyse
- 9.1 Stand der Forschung
- 9.2 Struktur des RAM-Speichers
- 9.3 Tools zur Sicherung und Analyse
- 9.4 RAM-Analyse mit Volatility
- 9.5 Volatility-Plugin vol_logkext.py
- 9.6 Zusammenfassung
- 10 Forensische Betrachtung der Mac-Technologien
- 10.1 Versions
- 10.2 Spotlight
- 10.2.1 Analyse von Spotlight
- 10.2.2 Spotlight als Werkzeug
- 10.3 Time Machine
- 10.3.1 Time-Machine-Spuren auf zu sichernden Rechnern
- 10.3.2 Allgemeine Struktur eines gemounteten Time-Machine-Backups
- 10.3.3 Struktur eines lokalen Backups
- 10.3.4 Analyse von Time-Machine-Backups
- 10.4 iCloud
- 10.4.1 iCloud-Spuren unter Mac OS
- 10.4.2 iCloud-Daten sichern
- 10.5 iOS-Backups
- 10.6 Übung: Cracken eines verschlüsselten iOS-Backups
- 10.7 Übung: Angriff auf die Manifest.plist
- 10.8 Übung: Analyse und Cracking - Teil 2
- 10.8.1 Suchen mit Spotlight
- 10.8.2 Fortsetzung des Szenarios
- 10.8.3 Lösung: Suchen mit Spotlight
- 10.8.4 Lösung: Fortsetzung des Szenarios
- 11 Advanced Terminal im forensischen Umfeld
- 11.1 Basiskommandos
- 11.2 Tastaturfunktionen
- 11.3 Spezielle Kommandos
- 11.3.1 Suche nach Dateien: locate
- 11.3.2 Suche nach Dateien: find
- 11.3.3 Grep
- 11.4 Mac-OS-Kommandos
- 11.4.1 Anzeige von erweiterten Metadaten
- 11.4.2 Anzeige und Konvertierung von Plist-Dateien
- 11.5 Scripting-Grundlagen
- 11.6 Übung: Advanced Terminal
- 12 AppleScript, Automator, OS X Server
- 12.1 Ein kurze Einführung in AppleScript
- 12.2 Automator und relevante Arbeitsabläufe
- 12.2.1 Workflow: Copy Files
- 12.2.2 Workflow: Kalenderdaten parsen
- 12.2.3 Workflow: Kontakte parsen
- 12.2.4 Dienst: Dateiliste erstellen
- 12.2.5 Dienst: MD5-Hashliste erstellen
- 12.2.6 Programme: Versteckte Dateien anzeigen und ausblenden
- 12.2.7 Programme: Diskarbitration Daemon aktivieren und deaktivieren
- 12.3 Mac OS als vollwertiges Serversystem
- 12.3.1 OS-X-Server-Upgrade über den App Store
- 12.3.2 Grundlegende OS-X-Server-Einstellungen
- 12.3.3 Dateifreigaben innerhalb eines Mac-Netzwerks
- 12.3.4 Digitale Spuren zu eingerichteten Diensten
- Literaturverzeichnis
- Kapitel »Wichtige Hintergrundinformationen«
- Kapitel »Das Mac-OS-Dateisystem im Fokus«
- Kapitel »Forensische Analyse von Mac OS«
- Kapitel »Kategorisierung digitaler Spuren«
- Kapitel »Informationen aus Log-Dateien«
- Kapitel »Hack the Mac«
- Kapitel »Anwendungsanalyse unter Mac OS«
- Kapitel »Random-Access-Memory-Analyse«
- Kapitel »Forensische Betrachtung der Mac-Technologien«
- Kapitel »AppleScript, Automator, OS X Server«
- Stichwortverzeichnis
