《Mac日志文件结构与提取分析》由会员分享,可在线阅读,更多相关《Mac日志文件结构与提取分析(5页珍藏版)》请在金锄头文库上搜索。
1、Mac日志文件结构与提取分析Mac日志文件结构与提取分析编者按:在PC端的电子数据取 证过程中, 针对Mac 电脑日志进行分析提取是一项重要内容。由于Mac日志文件在window系统上并不能直接识别,因此需要对其结构进行解析。本期,数据恢复四川省重点实验室科研人员将介绍Mac 日志文件的结构,以及如何利用效率源DF电子数据分析系统对其进行分析提取。一、什么是Mac日志文件Mac日志文件是记录电脑 系统应用程序和服务活动 的文件,其后缀名为.asl ,全名为Apple System Log。通过研究 发现, Mac日志文件按天存储,主要分为系统日志、安装器日志、无线连接日志、VPN 连接日志、内
2、核日志、诊断日志和电源管理日志7大类别,存储格式均为asl。由于Mac日志数据存储方式为二进制,在Window系统上并不能直接识别该文件,因此需要对其中的asl日志文件结构进行解析。二、Mac日志文件结构1.日志头部Mac日志文件存储结构均 为asl 。研究 发现,asl文件由文件 头部+ 日志记录组成,文件头部长度为80字节的固定长度,其结构如图1。图1日志头部文件记录了首条日志记录在文件中存储的位置,每条记录会记载下一条日志记录的偏移量。每条日志记录长度为非固定长度,其结构如图2。1图22.日志等级Mac日志文件等级按照0-7分为8个等级,每个数字代表不同的含义,如 图3。图33.ASL
3、STRING字符串格式ASL String是一种特殊的字符串存储格式:2当存储的字符串7字节,就将首字节首位设为0,以整个8个字节作为真实数据的偏移量,指向存储的字符串。字符串数据长度7字节示例:图5首字节的二进制表示为:0000 0000,即整个8个字节代表字符串在整个日志文件的偏移量,利用winhex 工具跳转到对应数据,如图6所示。图6该字符串长度为0x0B,编码 方式为UTF-8,解析出结果为HogandeMBP,如 图7。3图7备注:时间均为unix时间戳(UTC),以1970-01-01 00:00:00作为基准时间;字节存储顺序为大端存储。三、利用DF 解析Mac日志数据1.运行效率源DF电子数据分析系统,添加 Mac镜像文件并加 载Mac日志文件,如图8。图82.点击自动取证,选择Mac系统日志并开始提取,如图9。4图93.查看日志解析结果,如图10。图10四、结语本期,数据恢复四川省重点室科研人员介绍了Mac日志文件的结构,以及如何利用源5DF电子数据分析系统对其进行分析提取。 DF电子数据分析系统作为一款专门针对电子数据进行分析的专业设备,具有快速取证、数据提取、痕迹提取、数据分析、分析报告等功能,在电子数据取证过程中发挥了重要作用。6
