Brandt | Mac OS Hacking | E-Book | www2.sack.de
E-Book

E-Book, Deutsch, 416 Seiten

Reihe: Hacking

Brandt Mac OS Hacking

Professionelle Werkzeuge und Methoden zur forensischen Analyse des Apple-Betriebssystems
1. Auflage 2017
ISBN: 978-3-645-22431-4
Verlag: Franzis Verlag
Format: EPUB
 Kopierschutz: 6 - ePub Watermark

Professionelle Werkzeuge und Methoden zur forensischen Analyse des Apple-Betriebssystems

E-Book, Deutsch, 416 Seiten

Reihe: Hacking

ISBN: 978-3-645-22431-4
Verlag: Franzis Verlag
Format: EPUB
 Kopierschutz: 6 - ePub Watermark

Dieses Buch ist eine umfangreiche Anleitung und Hilfe für alle IT-Forensiker, Daten-Analysten und in-teressierten Mac-Nutzer, die erfahren wollen, welche unentdeckten Möglichkeiten im Apple-Betriebssystem schlummern. Es liefert fundiertes Grundlagenwissen und führt durch alle wichtigen Prozesse einer forensischen Betriebssystem-Analyse. Im Verlauf des Buchs lernen die Leser verschiedene Sicherungs- und Analysetechniken für digitale Spuren kennen: Neben der Lokalisierung und Kategorisierung digitaler Spuren beschreibt es praktische Analyse-Methoden wie das Aufspüren von kritischen Informationen in Plist- oder SQLite-Dateien oder die Identifikation von Passwörtern durch Sicherung und Analyse des Hauptspeichers. In seinen 12 umfangreichen Kapiteln widmet sich das Buch auch den Dateisystemen APFS und HFS+, der Skriptsprache AppleScript, Mac OS X Server sowie der fortgeschrittenen analytischen Nutzung des Terminals. In zahlreichen Übungen, die auch zum Download bereitstehen, können die Leserinnen und Leser das neu gewonnene Wissen direkt in praxisnahen Szenarien anwenden.

Der Autor Marc Brandt ist an der Hochschule für Polizei Baden-Württemberg als Dozent tätig. Hier hält er schwerpunktmäßig Seminare zu den Themengebieten Mac, Mobile Devices und Network Forensics. Marc Brandt begann seine Laufbahn als Streifenpolizist. Ein Jahr später wechselte er zur Kriminalpolizei. Bereits während seiner Tätigkeit bei einer Spezialdienststelle der Polizei Baden-Württemberg konnte er seine technische Begeisterung einbringen und vertiefen. Nach seinem Wechsel zum Polizeipräsidium Mannheim ergriff er 2007 die Chance auf eine Beschäftigung in der IT-Forensik. Seit diesem Zeitpunkt bildet er sich stetig weiter und krönte seine Leidenschaft für digitale Spuren im Jahr 2015 mit dem Abschluss M. Sc. in Digitaler Forensik an der Hochschule Albstadt-Sigmaringen. Im Rahmen seiner Tätigkeit als Dozent erstellte er bereits mehrere Skripte und Papers für IT-Experten innerhalb der Polizei und führte entsprechende Seminare durch. Das Buch 'Mac OS Hacking' ist ein Ergebnis seiner praktischen Erfahrungen und seiner lehrenden Tätigkeit.
Brandt Mac OS Hacking jetzt bestellen!

Autoren/Hrsg.

Brandt, Marc

Weitere Infos & Material

Inhaltsverzeichnis


1Ein Mac OS Lab aufsetzen

1.1System Integrity Protection deaktivieren

1.2Einen Übungs-Account einrichten

1.2.1Einen neuen Benutzer-Account erstellen

1.2.2Gatekeeper-Funktionalität deaktivieren

1.3Programme im Mac OS Lab installieren

1.3.1Java SE

1.3.2Xcode

1.3.3Fuse

1.3.4Mac Ports

1.3.5Homebrew

1.3.6Libewf

1.3.7Xmount

1.3.8Sleuth Kit

1.3.9SQLite-Browser

1.3.10Hex-Editoren

1.3.11Github

1.3.12Python

1.4Den Übungs-Account wieder löschen

2Wichtige Hintergrundinformationen

2.1Das Betriebssystem Mac OS

2.2Applelution in Cupertino

2.2.1Apple-Betriebssystem-Modelle

2.3Mac OS X intern

2.3.1Historie der Mac-OS-X-Versionen

2.3.2Darwin – das Grundgerüst von Mac OS

2.4Die Mac-OS-Architektur

2.4.1HFS+

2.4.2HFS+ case-sensitive

2.4.3/bin

2.4.4/sbin

2.4.5/usr

2.4.6/etc

2.4.7/dev

2.4.8/tmp

2.4.9/var

2.4.10/Applications

2.4.11/Developer

2.4.12/Library

2.4.13/Network

2.4.14/System

2.4.15/Users

2.4.16/Volumes

2.4.17/Cores

2.4.18Apple EFI

2.4.19Launchd

2.4.20Prozesse und Threads

2.4.21Mach-O-Binaries

2.4.22Bundles und Packages

2.4.23Applications

2.4.24Frameworks

2.5Mac-OS-Sicherheitskonzepte

2.5.1Code Signing

2.5.2Sandboxing

2.5.3Gatekeeper

2.5.4File Quarantine

2.5.5System Integrity Protection

2.5.6XPC

2.6Zusammenfassung

2.7Übung: Mac-OS-Handling

3Das Mac-OS-Dateisystem im Fokus

3.1Solid State Disks

3.2GUID-Partitionsschema

3.2.1GUID Partition Table

3.2.2Analyse der GUID Partition Table

3.2.3Zusammensetzen von Fusion-Drive-Laufwerken

3.3Hierarchical File System Plus (HFS+)

3.3.1Speichersystematik

3.3.2HFS+ Special Files

3.3.3Extraktion von HFS+ Special Files

3.3.4Volume Header

3.3.5Allocation File

3.3.6B-Baum-Struktur

3.3.7Catalog File

3.3.8Extents Overflow File

3.3.9Attributes File

3.3.10Journal

3.3.11Dateikomprimierung

3.3.12Hardlinks

3.3.13Mac-OS-Zeitstempel

3.4Apple File System (APFS)

3.4.1Flexible Partitionen

3.4.2Dateisystem-Snapshots

3.4.3Dateien und Verzeichnisse klonen

3.4.4Verschlüsselung

3.4.5Eine APFS-Volume erstellen

3.4.6Partitionsschema

3.4.7Container-Superblock

3.4.8Volume Header

3.4.9Forensische Ansätze

3.4.10Ausblick auf das APFS

3.5Übung: Partitionen und Dateisystem

4Forensische Analyse von Mac OS

4.1Stand der Forschung

4.2Modelle der Digitalen Forensik

4.3Der investigative Prozess nach Casey

4.3.1Der investigative Prozess für Mac-Computer

4.4Live Response

4.4.1Maßnahmen bei eingeschalteten Mac-Computern

4.4.2Vertrauenswürdige Binaries

4.4.3Sammlung volatiler Daten (Triage)

4.4.4Virtuelle Maschinen

4.5Übung: Live Response

4.5.1RAM-Sicherung

4.5.2Logische Sicherung

4.6Post-Mortem-Analyse

4.6.1Forensische Abbilder von Datenträgern

4.6.2Live-CD/-DVD oder bootbarer USB-Stick

4.6.3Sicherung von MacBooks mit NVMe-Controllern

4.6.4Sicherung über die Recovery-Partition

4.6.5Target Disk Mode

4.6.6FileVault 2 und Fusion Drive

4.6.7Open-Firmware-Passwort

4.6.8Disk Arbitration

4.7Sicherungsstrategien für Mac-Computer

4.8Übung: Sicherung erstellen

4.8.1Sicherung mit dd/dcfldd

4.8.2Sicherung mit ewfacquire

4.8.3Sicherung mit dem FTK Imager

5Kategorisierung digitaler Spuren

5.1Persistente Spuren

5.2Mac-spezifische Formate

5.2.1Property List Files

5.2.2NSKeyedArchiver-Format

5.2.3SQLite

5.2.4Analyse von SQLite

5.2.5Disk Images

5.2.6Forensische Abbilder mounten

5.3System- und lokale Domäne

5.3.1Systeminformationen

5.3.2Nutzerkonten

5.3.3Netzwerkeinstellungen

5.3.4Software-Installationen

5.3.5Drucker

5.3.6Keychains

5.3.7Firewall

5.3.8Launch Agents

5.3.9Launch Daemons

5.3.10Freigaben

5.4Nutzer-Domäne

5.4.1Nutzer-Account-Informationen

5.4.2Papierkorb

5.4.3Zuletzt genutzte...

Ihre Fragen, Wünsche oder Anmerkungen
Vorname*
Nachname*
Ihre E-Mail-Adresse*
Kundennr.
Ihre Nachricht*
Lediglich mit * gekennzeichnete Felder sind Pflichtfelder.
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihr Angaben für die Beantwortung Ihrer Anfrage verwenden. Selbstverständlich werden Ihre Daten vertraulich behandelt und nicht an Dritte weitergegeben. Sie können der Verwendung Ihrer Daten jederzeit widersprechen. Das Datenhandling bei Sack Fachmedien erklären wir Ihnen in unserer Datenschutzerklärung.