海南省国家安全厅项目简介开发目的,是为了能够对实际工作中拷贝的苹果计算机硬盘进行智能化的快速分析,解决分析难题,提升工作效率利用简单的几步操作,即可快速得到分析结果主要功能:苹果硬盘和DMG镜像文件的自动分析、自动报告、数据导出 实际效果:可以分析分析苹果MacOS操作系统的系统信息、各种痕迹(安装的软硬件、网络痕迹、设备痕迹、最近操作的记录)浏览器记录、聊天记录、图形图像、音频视频、邮件和文件、地理信息、数据来源、虚拟机等技术指标:包含各种分析插件36个,覆盖主流MacOS应用程序分析速度:常规苹果硬盘可在10-30分钟内分析完成软件使用:利用加密锁保护后期维护:利用后期推广费用和年度服务费用维持后续研发后续研发:拟开发开机状态下的MacOS获取工具设计思路DMG镜像、克隆的苹果硬盘数据分析操作步骤第一步:连接硬盘加载镜像启动苹果机,插入软件狗连接已备份的的苹果机硬盘,或加载获取的苹果系统磁盘的DMG镜像文件硬盘连接后,或镜像加载后,桌面会出现不同的磁盘图标,区别如下所示:获取的苹果机硬盘镜像文件镜像文件加载后显示的磁盘图标通过拷贝方式获得的苹果硬盘图标加密狗图标,内含主程序计算机内置硬盘第二步:运行软件打开加密狗,运行MacOS智能分析系统程序程序可以在加密狗中使用,也可复制到苹果电脑中使用。
程序运行后,可看到如下主界面:应用程序第三步:配置报告信息第一次运行“MacOS智能分析系统”时,可以通过配置进行报告设置这些信息可以保存,并在创建案件报告时自动使用所输入的信息输入调查员信息,点击“保存”“确定”,点击圆点关闭窗口第四步:创建案例点击“创建案例”可输入完整案件信息这些信息将出现在后期案件报告中同时需要在此处选择需要加载的苹果硬盘和镜像,并设置案件数据保存位置加载苹果镜像分区如DMG镜像,直接双击即可加载点击上下箭头,即可见到CFlabs MacBookPro,即加载的包含有苹果系统的镜像分区需注意,加载的磁盘必须是一个包含有苹果系统的有效磁盘分区也可以直接加载一个复制的硬盘直接进行分析选择保存位置点击红色标记的图标,可以打开窗口选择保存位置第四步:创建案例第四步:创建案例选择案件保存位置选择保存位置步骤如下:1、选择保存位置,如:文稿2、点击新建文件夹3、输入创建文件夹名称4、点击“创建”按钮第四步:创建案例案件基本信息输入和设置完成,点击“开始”进行自动分析第五步:自动分析软件将自动提取嫌疑硬盘中的所有可分析的数据根据数据量不同,分析时间可能10余分钟,也可能几十分钟。
请耐心等待第六步:查看分析结果此窗口为软件分析结果界面,汇总了所有分析插件的分析结果可根据需要逐一查看分析结果重要的数据可勾选,标记,用于后期报告和数据导出第七步:报告和导出此窗口为软件主要界面,汇总了所有分析插件的分析结果可根据需要逐一查看分析结果重要的数据可勾选、标记、注释,用于后期报告和数据导出报告样式报告为HTML格式,保存于案件数据目录下包含数据的插件内容才会显示在报告中分析插件详细描述MacOS智能分析系统目前有41个插件,用于分析不同类型的苹果数据目前主要包括以下5类数据,分别为:苹果内置应用程序类:日历、联系人、iChat、邮件、iTune、iPhoto苹果系统痕迹类:Airport、蓝牙、USB设备、磁盘工具及列表、账户、连接的设备、安装的硬件和应用程序、网络设置、最近使用痕迹、命令行记录、文件元数据类:地理标签、数据来源用户数据类:图片、音频和视频用户安装的应用程序类:浏览器:Google Chrome、火狐、Safari、浏览器虚拟机:Parallel、Virtual Box、VMware即时通讯:iChat信息、Skype、传输数据、、飞信、阿里旺旺其他:CCleaner具体插件:苹果内置应用程序类:日历日历主要包含用户的个人行程、标注的事件、提醒事件等信息苹果内置应用程序类:联系人联系人插件主要解析通讯录中的所有信息苹果内置应用程序类:邮件提取工具涉及邮件插件有2个,“邮件提取工具”用于解析邮件数据、提取邮件和账号,本例可以看到硬盘中存在的不同邮件账户和提取的邮件数量、原始邮件保存位置苹果内置应用程序类:Apple邮件“Apple邮件”用于解析具体账号状态、时间,显示开启的附件以及具体邮件内容苹果内置应用程序类:Apple邮件“Apple邮件”解析具体的邮件,可预览邮件正文苹果内置应用程序类:iTune“iTunes”用于解析iTunes软件中包含的音频文件,并支持音频播放苹果内置应用程序类:iPhoto“iPhoto”用于解析iPhoto软件中包含的照片,并支持预览具体插件用户数据类:音频和视频“音频和视频”可解析硬盘中所有的音频和视频文件,并支持直接播放,查看具体内容具体插件用户数据类:图片“图片”可解析硬盘中所有的图片文件,包括iPhoto中的照片、保存的图片,以及程序包中的图片,支持预览及缩略图显示具体插件苹果系统痕迹类:最近使用的项目“最近使用的项目”,可分析最近打开的文件、最近运行的程序和最近编辑的文件苹果系统痕迹类:安装的硬件“安装的硬件”,分析连接过的硬件设备,如磁盘,Hub等苹果系统痕迹类:已安装的应用程序“已安装的应用程序”,分析MacOS安装的所有应用程序,及安装时间苹果系统痕迹类:iOS备份“iOS备份”,分析同步过的iOS设备的名称IDIMEI,何时进行的备份,设备中安装的程序苹果系统痕迹类:账户“账户”,分析曾经使用过的各种账户,如邮件、Skype、iChat账户苹果系统痕迹类:Airport“AirPort”用于苹果AirPort连接过的WIFI网络和时间苹果系统痕迹类:Bash History记录“Bash History记录”用于苹果终端窗口中曾经输入过的命令行历史记录苹果系统痕迹类:Finder边栏“Finder边栏”用于苹果Finder边栏中曾经出现的信息。
包括文件夹、USB设备、网络连接、TimeMachine磁盘、应用程序苹果系统痕迹类:Finder边栏TimeMachine,显示曾经使用过、列出过的TimeMachine备份磁盘注:此处列出的不表示肯定被用户使用为TimeMachine备份磁盘苹果系统痕迹类:废纸篓废纸篓,显示当前被删除但仍保留在废纸篓中的数据可以掌握其中数据的原始保存位置苹果系统痕迹类:磁盘工具磁盘工具,可以找到利用磁盘工具加载过的设备名称、具体信息苹果系统痕迹类:磁盘工具磁盘工具,可以找到利用磁盘工具擦除设备的记录和痕迹,包括擦除时间苹果系统痕迹类:磁盘工具保存列表磁盘工具保存列表,可以找到利用磁盘工具加载过的DMG镜像历史记录苹果系统痕迹类:连接的USB连接的USB,可以分析出和本机连接过的USB设备及序列号,以及最后时间苹果系统痕迹类:数据销毁数据销毁插件能够解析本机使用安全查出的纪录,苹果终端输入的命令行、近期计划任务以及系统中安装的相关垃圾清除工具苹果系统痕迹类:蓝牙蓝牙,可以分析出和本机连接过的蓝牙设备、名称和最后时间具体插件文件元数据类:地理坐标“地理坐标”用于分析苹果硬盘中包含有地理坐标位置的图片,可以通过Google Map查看照片的具体拍摄位置具体插件文件元数据类:数据来源“数据来源”用于解析下载目录或其他目录中的文件来源位置。
这是MacOS文件的一个特有元数据可以知道某个的来源,是来自互联网下载,或来源与邮件具体插件 用户安装的应用程序类:即时通讯-Skype“Skype”可以分析Skype软件的联系人、通话记录、短信、发送的文件、聊天记录等,下图:通讯录用户安装的应用程序类:即时通讯-Skype下图:传送文件历史记录用户安装的应用程序类:即时通讯-Skype下图:所有聊天历史记录用户安装的应用程序类:即时通讯-Skype下图:依据对话人员显示所有聊天记录用户安装的应用程序类:即时通讯-iChat信息iChat,解析“iChat信息”软件包含的账户、聊天记录和关系人用户安装的应用程序类:即时通讯传输信息,解析“”软件包含的账户、传输文件、声音文件、以及图像文件用户安装的应用程序类:即时通讯阿里旺旺阿里旺旺,解析“阿里旺旺”软件包含的账户、好友帐户以及头像用户安装的应用程序类:即时通讯,解析“”软件包含的帐户、好友ID、传输的文件用户安装的应用程序类:即时通讯飞信阿里旺旺,解析“阿里旺旺”软件包含的账户、聊天信息、群消息、短信、取足事件用户安装的应用程序类:虚拟机“VMware”可以分析用户是否安装有VMware Fusion虚拟机,并报告虚拟机VMX文件的保存位置、安装的操作系统版本用户安装的应用程序类:虚拟机“Virtual Box”可以分析用户是否安装有Virtual Box虚拟机,并报告虚拟机VDI文件的保存位置用户安装的应用程序类:虚拟机“Parallels”可以分析用户是否安装有Parallels虚拟机,并报告虚拟机.pvs文件的保存位置、日志的时间格式、最近使用的虚拟机用户安装的应用程序类:浏览器浏览器分类目前支持MacOS内置的Safari,以及第三方浏览器:GoogleChrome、Firefox、浏览器。
支持浏览器中保存的各种数据的解析用户安装的应用程序类:浏览器例如,通过Safari浏览器下载的文件记录用户安装的应用程序类:浏览器Safari,浏览器历史记录用户安装的应用程序类:浏览器Safari,曾经访问过网页的截屏用户安装的应用程序类:浏览器Firefox,自动保存保单及搜索记录用户安装的应用程序类:浏览器Google Chrome 历史数据、下载文件纪录、cookies、自动填充数据用户安装的应用程序类:浏览器浏览器,历史纪录、下载文件纪录、cookies、登陆过的帐户、自动填充信息用户安装的应用程序类:信息消除工具CCleaner,分析CCleaner软件的数据擦除设置和软件使用记录。