Brandt | Mac OS Hacking | E-Book | sack.de
E-Book

E-Book, Deutsch, 416 Seiten

Reihe: Hacking

Brandt Mac OS Hacking

Professionelle Werkzeuge und Methoden zur forensischen Analyse des Apple-Betriebssystems
1. Auflage 2017
ISBN: 978-3-645-20551-1
Verlag: Franzis Verlag
Format: PDF
 Kopierschutz: 1 - PDF Watermark

Professionelle Werkzeuge und Methoden zur forensischen Analyse des Apple-Betriebssystems

E-Book, Deutsch, 416 Seiten

Reihe: Hacking

ISBN: 978-3-645-20551-1
Verlag: Franzis Verlag
Format: PDF
 Kopierschutz: 1 - PDF Watermark

Dieses Buch ist eine umfangreiche Anleitung und Hilfe für alle IT-Forensiker, Daten-Analysten und in-teressierten Mac-Nutzer, die erfahren wollen, welche unentdeckten Möglichkeiten im Apple-Betriebssystem schlummern. Es liefert fundiertes Grundlagenwissen und führt durch alle wichtigen Prozesse einer forensischen Betriebssystem-Analyse. Im Verlauf des Buchs lernen die Leser verschiedene Sicherungs- und Analysetechniken für digitale Spuren kennen: Neben der Lokalisierung und Kategorisierung digitaler Spuren beschreibt es praktische Analyse-Methoden wie das Aufspüren von kritischen Informationen in Plist- oder SQLite-Dateien oder die Identifikation von Passwörtern durch Sicherung und Analyse des Hauptspeichers. In seinen 12 umfangreichen Kapiteln widmet sich das Buch auch den Dateisystemen APFS und HFS+, der Skriptsprache AppleScript, Mac OS X Server sowie der fortgeschrittenen analytischen Nutzung des Terminals. In zahlreichen Übungen, die auch zum Download bereitstehen, können die Leserinnen und Leser das neu gewonnene Wissen direkt in praxisnahen Szenarien anwenden.

Der Autor Marc Brandt ist an der Hochschule für Polizei Baden-Württemberg als Dozent tätig. Hier hält er schwerpunktmäßig Seminare zu den Themengebieten Mac, Mobile Devices und Network Forensics. Marc Brandt begann seine Laufbahn als Streifenpolizist. Ein Jahr später wechselte er zur Kriminalpolizei. Bereits während seiner Tätigkeit bei einer Spezialdienststelle der Polizei Baden-Württemberg konnte er seine technische Begeisterung einbringen und vertiefen. Nach seinem Wechsel zum Polizeipräsidium Mannheim ergriff er 2007 die Chance auf eine Beschäftigung in der IT-Forensik. Seit diesem Zeitpunkt bildet er sich stetig weiter und krönte seine Leidenschaft für digitale Spuren im Jahr 2015 mit dem Abschluss M. Sc. in Digitaler Forensik an der Hochschule Albstadt-Sigmaringen. Im Rahmen seiner Tätigkeit als Dozent erstellte er bereits mehrere Skripte und Papers für IT-Experten innerhalb der Polizei und führte entsprechende Seminare durch. Das Buch 'Mac OS Hacking' ist ein Ergebnis seiner praktischen Erfahrungen und seiner lehrenden Tätigkeit.

Brandt Mac OS Hacking jetzt bestellen!

Autoren/Hrsg.

Brandt, Marc

Weitere Infos & Material

1;Mac OS Hacking;1
1.1;Impressum;4
1.2;Über den Autor;5
1.3;Vorwort;7
1.4;Inhaltsverzeichnis;11
1.5;1Ein Mac OS Lab aufsetzen;19
1.5.1;1.1 System Integrity Protection deaktivieren;19
1.5.2;1.2 Einen Übungs-Account einrichten;19
1.5.2.1;1.2.1Einen neuen Benutzer-Account erstellen;20
1.5.2.2;1.2.2Gatekeeper-Funktionalität deaktivieren;21
1.5.3;1.3 Programme im Mac OS Lab installieren;22
1.5.3.1;1.3.1Java SE;22
1.5.3.2;1.3.2Xcode;22
1.5.3.3;1.3.3Fuse;23
1.5.3.4;1.3.4Mac Ports;23
1.5.3.5;1.3.5Homebrew;23
1.5.3.6;1.3.6Libewf;24
1.5.3.7;1.3.7Xmount;24
1.5.3.8;1.3.8Sleuth Kit;25
1.5.3.9;1.3.9SQLite-Browser;25
1.5.3.10;1.3.10Hex-Editoren;25
1.5.3.11;1.3.11Github;25
1.5.3.12;1.3.12Python;25
1.5.4;1.4 Den Übungs-Account wieder löschen;26
1.6;2Wichtige Hintergrundinformationen;27
1.6.1;2.1 Das Betriebssystem Mac OS;27
1.6.2;2.2 Applelution in Cupertino;28
1.6.2.1;2.2.1Apple-Betriebssystem-Modelle;31
1.6.3;2.3 Mac OS X intern;31
1.6.3.1;2.3.1Historie der Mac-OS-X-Versionen;32
1.6.3.2;2.3.2Darwin – das Grundgerüst von Mac OS;37
1.6.4;2.4 Die Mac-OS-Architektur;38
1.6.4.1;2.4.1HFS+;39
1.6.4.2;2.4.2HFS+ case-sensitive;39
1.6.4.3;2.4.3/bin;40
1.6.4.4;2.4.4/sbin;40
1.6.4.5;2.4.5/usr;41
1.6.4.6;2.4.6/etc;41
1.6.4.7;2.4.7/dev;41
1.6.4.8;2.4.8/tmp;41
1.6.4.9;2.4.9/var;41
1.6.4.10;2.4.10/Applications;42
1.6.4.11;2.4.11/Developer;42
1.6.4.12;2.4.12/Library;42
1.6.4.13;2.4.13/Network;42
1.6.4.14;2.4.14/System;43
1.6.4.15;2.4.15/Users;43
1.6.4.16;2.4.16/Volumes;43
1.6.4.17;2.4.17/Cores;43
1.6.4.18;2.4.18Apple EFI;46
1.6.4.19;2.4.19Launchd;50
1.6.4.20;2.4.20Prozesse und Threads;51
1.6.4.21;2.4.21Mach-O-Binaries;53
1.6.4.22;2.4.22Bundles und Packages;55
1.6.4.23;2.4.23Applications;56
1.6.4.24;2.4.24Frameworks;56
1.6.5;2.5 Mac-OS-Sicherheitskonzepte;57
1.6.5.1;2.5.1Code Signing;57
1.6.5.2;2.5.2Sandboxing;57
1.6.5.3;2.5.3Gatekeeper;58
1.6.5.4;2.5.4File Quarantine;59
1.6.5.5;2.5.5System Integrity Protection;59
1.6.5.6;2.5.6XPC;60
1.6.6;2.6 Zusammenfassung;61
1.6.7;2.7 Übung: Mac-OS-Handling;62
1.7;3Das Mac-OS-Dateisystem im Fokus;67
1.7.1;3.1 Solid State Disks;68
1.7.2;3.2 GUID-Partitionsschema;70
1.7.2.1;3.2.1GUID Partition Table;70
1.7.2.2;3.2.2Analyse der GUID Partition Table;75
1.7.2.3;3.2.3Zusammensetzen von Fusion-Drive-Laufwerken;77
1.7.3;3.3 Hierarchical File System Plus (HFS+);78
1.7.3.1;3.3.1Speichersystematik;80
1.7.3.2;3.3.2HFS+ Special Files;81
1.7.3.3;3.3.3Extraktion von HFS+ Special Files;82
1.7.3.4;3.3.4Volume Header;83
1.7.3.5;3.3.5Allocation File;86
1.7.3.6;3.3.6B-Baum-Struktur;87
1.7.3.7;3.3.7Catalog File;95
1.7.3.8;3.3.8Extents Overflow File;100
1.7.3.9;3.3.9Attributes File;100
1.7.3.10;3.3.10Journal;103
1.7.3.11;3.3.11Dateikomprimierung;103
1.7.3.12;3.3.12Hardlinks;105
1.7.3.13;3.3.13Mac-OS-Zeitstempel;107
1.7.4;3.4 Apple File System (APFS);108
1.7.4.1;3.4.1Flexible Partitionen;109
1.7.4.2;3.4.2Dateisystem-Snapshots;111
1.7.4.3;3.4.3Dateien und Verzeichnisse klonen;112
1.7.4.4;3.4.4Verschlüsselung;112
1.7.4.5;3.4.5Eine APFS-Volume erstellen;113
1.7.4.6;3.4.6Partitionsschema;115
1.7.4.7;3.4.7Container-Superblock;117
1.7.4.8;3.4.8Volume Header;117
1.7.4.9;3.4.9Forensische Ansätze;120
1.7.4.10;3.4.10Ausblick auf das APFS;123
1.7.5;3.5 Übung: Partitionen und Dateisystem;124
1.8;4Forensische Analyse von Mac OS;131
1.8.1;4.1 Stand der Forschung;131
1.8.2;4.2 Modelle der Digitalen Forensik;132
1.8.3;4.3 Der investigative Prozess nach Casey;132
1.8.3.1;4.3.1Der investigative Prozess für Mac-Computer;135
1.8.4;4.4 Live Response;135
1.8.4.1;4.4.1Maßnahmen bei eingeschalteten Mac-Computern;136
1.8.4.2;4.4.2Vertrauenswürdige Binaries;137
1.8.4.3;4.4.3Sammlung volatiler Daten (Triage);138
1.8.4.4;4.4.4Virtuelle Maschinen;139
1.8.5;4.5 Übung: Live Response;140
1.8.5.1;4.5.1RAM-Sicherung;145
1.8.5.2;4.5.2Logische Sicherung;147
1.8.6;4.6 Post-Mortem-Analyse;147
1.8.6.1;4.6.1Forensische Abbilder von Datenträgern;148
1.8.6.2;4.6.2Live-CD/-DVD oder bootbarer USB-Stick;150
1.8.6.3;4.6.3Sicherung von MacBooks mit NVMe-Controllern;152
1.8.6.4;4.6.4Sicherung über die Recovery-Partition;154
1.8.6.5;4.6.5Target Disk Mode;155
1.8.6.6;4.6.6FileVault 2 und Fusion Drive;155
1.8.6.7;4.6.7Open-Firmware-Passwort;156
1.8.6.8;4.6.8Disk Arbitration;156
1.8.7;4.7 Sicherungsstrategien für Mac-Computer;157
1.8.8;4.8 Übung: Sicherung erstellen;158
1.8.8.1;4.8.1Sicherung mit dd/dcfldd;158
1.8.8.2;4.8.2Sicherung mit ewfacquire;159
1.8.8.3;4.8.3Sicherung mit dem FTK Imager;159
1.9;5Kategorisierung digitaler Spuren;161
1.9.1;5.1 Persistente Spuren;161
1.9.2;5.2 Mac-spezifische Formate;162
1.9.2.1;5.2.1Property List Files;162
1.9.2.2;5.2.2NSKeyedArchiver-Format;163
1.9.2.3;5.2.3SQLite;166
1.9.2.4;5.2.4Analyse von SQLite;169
1.9.2.5;5.2.5Disk Images;178
1.9.2.6;5.2.6Forensische Abbilder mounten;180
1.9.3;5.3 System- und lokale Domäne;181
1.9.3.1;5.3.1Systeminformationen;181
1.9.3.2;5.3.2Nutzerkonten;184
1.9.3.3;5.3.3Netzwerkeinstellungen;185
1.9.3.4;5.3.4Software-Installationen;186
1.9.3.5;5.3.5Drucker;189
1.9.3.6;5.3.6Keychains;190
1.9.3.7;5.3.7Firewall;192
1.9.3.8;5.3.8Launch Agents;193
1.9.3.9;5.3.9Launch Daemons;194
1.9.3.10;5.3.10Freigaben;195
1.9.4;5.4 Nutzer-Domäne;201
1.9.4.1;5.4.1Nutzer-Account-Informationen;202
1.9.4.2;5.4.2Papierkorb;204
1.9.4.3;5.4.3Zuletzt genutzte Objekte;205
1.9.4.4;5.4.4Dock;206
1.9.4.5;5.4.5Spaces;207
1.9.4.6;5.4.6Anmeldeobjekte von Nutzern;209
1.9.4.7;5.4.7SSH;210
1.9.4.8;5.4.8Apps;211
1.9.4.9;5.4.9Kontakte;211
1.9.4.10;5.4.10Kalender;213
1.9.4.11;5.4.11Mail;214
1.9.4.12;5.4.12Safari;217
1.9.4.13;5.4.13Fotos;218
1.9.4.14;5.4.14Nachrichten;219
1.9.4.15;5.4.15FaceTime;221
1.9.4.16;5.4.16Notizen;221
1.9.4.17;5.4.17Continuity;223
1.9.4.18;5.4.18Siri;224
1.9.4.19;5.4.19Applikationen von Drittanbietern;225
1.9.5;5.5 Netzwerk-Domäne;226
1.9.6;5.6 Zusammenfassung;226
1.10;6Informationen aus Log-Dateien;227
1.10.1;6.1 Log-Dateien des Betriebssystems;227
1.10.1.1;6.1.1Nutzer-/Account-Informationen;227
1.10.1.2;6.1.2Software-Installationen;228
1.10.1.3;6.1.3Filesystem Check;228
1.10.1.4;6.1.4Storage Manager;228
1.10.1.5;6.1.5WiFi.log;229
1.10.1.6;6.1.6System.log;229
1.10.1.7;6.1.7Periodische Log-Dateien;231
1.10.1.8;6.1.8Apple System Logs;232
1.10.1.9;6.1.9Audit-Logs;233
1.10.1.10;6.1.10Unified Logging;235
1.10.2;6.2 Log-Dateien der Nutzer-Domäne;245
1.10.2.1;6.2.1Verbundene iOS-Geräte;245
1.10.2.2;6.2.2FaceTime-Verbindungen;246
1.10.2.3;6.2.3Übersicht;246
1.11;7Hack the Mac;249
1.11.1;7.1 Mac-OS-Nutzerpasswörter;249
1.11.1.1;7.1.1Cracking des Nutzerpassworts mit Dave Grohl;251
1.11.1.2;7.1.2Cracking des Nutzerpassworts mit Hashcat;252
1.11.2;7.2 FileVault 2 – Full Disk Encryption;256
1.11.2.1;7.2.1FileVault2-Cracking mit JtR – EncryptedRoot.plist.wipekey;259
1.11.2.2;7.2.2FileVault2-Cracking mit JtR – Image-Datei;264
1.11.3;7.3 Mac-OS-Keychains cracken;266
1.11.3.1;7.3.1Angriff auf den Nutzerschlüsselbund mit JtR;266
1.11.4;7.4 Verschlüsselte Disk Images;267
1.11.4.1;7.4.1Angriff auf eine verschlüsselte DMG-Datei mit JtR;268
1.11.4.2;7.4.2Angriff auf eine verschlüsselte Sparsebundle-Datei mit JtR;268
1.11.5;7.5 Übung: Analyse und Cracking – Teil 1;268
1.11.5.1;7.5.1Szenario;268
1.11.5.2;7.5.2Lösung: Szenario;270
1.11.5.3;7.5.3Fortsetzung des Szenarios;273
1.11.5.4;7.5.4Lösung: Fortsetzung des Szenarios;273
1.12;8Anwendungsanalyse unter Mac OS;275
1.12.1;8.1 Tools zur Anwendungsanalyse;275
1.12.1.1;8.1.1Mac OS: Aktivitätsanzeige;275
1.12.1.2;8.1.2List open Files: lsof;277
1.12.1.3;8.1.3Fs_usage;277
1.12.1.4;8.1.4Xcode: Instruments;278
1.12.1.5;8.1.5DTrace;280
1.12.1.6;8.1.6FSmonitor;280
1.12.1.7;8.1.7DaemonFS;281
1.12.2;8.2 Modell zur Analyse von Applikationen unter Mac OS;281
1.12.3;8.3 Anwendungsanalyse der Nachrichten-App;283
1.12.3.1;8.3.1Analyseumgebung;283
1.12.3.2;8.3.2Anwendungsanalyse der Nachrichten-App;283
1.12.3.3;8.3.3Ansätze für eine forensische Analyse;304
1.12.3.4;8.3.4Zusammenfassung;305
1.13;9Random-Access-Memory-Analyse;307
1.13.1;9.1 Stand der Forschung;308
1.13.2;9.2 Struktur des RAM-Speichers;308
1.13.3;9.3 Tools zur Sicherung und Analyse;311
1.13.4;9.4 RAM-Analyse mit Volatility;312
1.13.5;9.5 Volatility-Plugin vol_logkext.py;314
1.13.6;9.6 Zusammenfassung;317
1.14;10Forensische Betrachtung der Mac-Technologien;319
1.14.1;10.1 Versions;319
1.14.2;10.2 Spotlight;326
1.14.2.1;10.2.1Analyse von Spotlight;327
1.14.2.2;10.2.2Spotlight als Werkzeug;329
1.14.3;10.3 Time Machine;333
1.14.3.1;10.3.1Time-Machine-Spuren auf zu sichernden Rechnern;334
1.14.3.2;10.3.2Allgemeine Struktur eines gemounteten Time-Machine-Backups;337
1.14.3.3;10.3.3Struktur eines lokalen Backups;344
1.14.3.4;10.3.4Analyse von Time-Machine-Backups;345
1.14.4;10.4 iCloud;350
1.14.4.1;10.4.1iCloud-Spuren unter Mac OS;353
1.14.4.2;10.4.2iCloud-Daten sichern;360
1.14.5;10.5 iOS-Backups;361
1.14.6;10.6 Übung: Cracken eines verschlüsselten iOS-Backups;368
1.14.7;10.7 Übung: Angriff auf die Manifest.plist;368
1.14.8;10.8 Übung: Analyse und Cracking – Teil 2;369
1.14.8.1;10.8.1Suchen mit Spotlight;369
1.14.8.2;10.8.2Fortsetzung des Szenarios;371
1.14.8.3;10.8.3Lösung: Suchen mit Spotlight;371
1.14.8.4;10.8.4Lösung: Fortsetzung des Szenarios;372
1.15;11Advanced Terminal im forensischen Umfeld;373
1.15.1;11.1 Basiskommandos;373
1.15.2;11.2 Tastaturfunktionen;374
1.15.3;11.3 Spezielle Kommandos;374
1.15.3.1;11.3.1Suche nach Dateien: locate;374
1.15.3.2;11.3.2Suche nach Dateien: find;375
1.15.3.3;11.3.3Grep;376
1.15.4;11.4 Mac-OS-Kommandos;377
1.15.4.1;11.4.1Anzeige von erweiterten Metadaten;377
1.15.4.2;11.4.2Anzeige und Konvertierung von Plist-Dateien;378
1.15.5;11.5 Scripting-Grundlagen;379
1.15.6;11.6 Übung: Advanced Terminal;380
1.16;12AppleScript, Automator, OS X Server;381
1.16.1;12.1 Ein kurze Einführung in AppleScript;381
1.16.2;12.2 Automator und relevante Arbeitsabläufe;383
1.16.2.1;12.2.1Workflow: Copy Files;386
1.16.2.2;12.2.2Workflow: Kalenderdaten parsen;387
1.16.2.3;12.2.3Workflow: Kontakte parsen;388
1.16.2.4;12.2.4Dienst: Dateiliste erstellen;389
1.16.2.5;12.2.5Dienst: MD5-Hashliste erstellen;391
1.16.2.6;12.2.6Programme: Versteckte Dateien anzeigen und ausblenden;391
1.16.2.7;12.2.7Programme: Diskarbitration Daemon aktivieren und deaktivieren;392
1.16.3;12.3 Mac OS als vollwertiges Serversystem;393
1.16.3.1;12.3.1OS-X-Server-Upgrade über den App Store;393
1.16.3.2;12.3.2Grundlegende OS-X-Server-Einstellungen;394
1.16.3.3;12.3.3Dateifreigaben innerhalb eines Mac-Netzwerks;395
1.16.3.4;12.3.4Digitale Spuren zu eingerichteten Diensten;395
1.17;Literaturverzeichnis;397
1.17.1;Kapitel »Wichtige Hintergrundinformationen«;397
1.17.2;Kapitel »Das Mac-OS-Dateisystem im Fokus«;400
1.17.3;Kapitel »Forensische Analyse von Mac OS«;401
1.17.4;Kapitel »Kategorisierung digitaler Spuren«;402
1.17.5;Kapitel »Informationen aus Log-Dateien«;404
1.17.6;Kapitel »Hack the Mac«;405
1.17.7;Kapitel »Anwendungsanalyse unter Mac OS«;405
1.17.8;Kapitel »Random-Access-Memory-Analyse«;406
1.17.9;Kapitel »Forensische Betrachtung der Mac-Technologien«;407
1.17.10;Kapitel »AppleScript, Automator, OS X Server«;407
1.18;Stichwortverzeichnis;409

Ihre Fragen, Wünsche oder Anmerkungen
Vorname*
Nachname*
Ihre E-Mail-Adresse*
Kundennr.
Ihre Nachricht*
Lediglich mit * gekennzeichnete Felder sind Pflichtfelder.
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihr Angaben für die Beantwortung Ihrer Anfrage verwenden. Selbstverständlich werden Ihre Daten vertraulich behandelt und nicht an Dritte weitergegeben. Sie können der Verwendung Ihrer Daten jederzeit widersprechen. Das Datenhandling bei Sack Fachmedien erklären wir Ihnen in unserer Datenschutzerklärung.