学习并掌握苹果计算机的取证与分析之法,首先应当对苹果计算机具备一个整体性、全方位的认知,需明晰苹果计算机与常用的 Windows 计算机存在何种差异?而这些差异又对取证分析产生了哪些影响。唯有全面了解苹果计算机以及 macOS 操作系统,方可采用恰当的方法,运用正确的工具来完成对苹果计算机的取证和分析,获取全面的分析成果。
第一部分:苹果计算机概述
苹果家族、苹果设备类型以及苹果计算机的发展历程
苹果 MacOS 操作系统
苹果存储设备的类型
第二部分:苹果计算机勘验
苹果计算机——关机状态
T2 加密和 FileVault
苹果计算机——运行状态
连接中的加密存储设备
第三部分:苹果系统数据格式和存储位置
苹果计算机——关机状态
目录结构
办公软件和文件格式
MacOS APP:邮件
MacOS APP:照片
MacOS APP:iMoive
MacOS 三种虚拟机
连接过的移动终端
iCloud 取证、钥匙圈和 FileVault 破解
第四部分:数据删除和废纸篓
数据删除之际发生了何事?
于何时,删除了何物?
何为.DB_Store,X-Ways 解析结果
学习运用 Python 脚本解析.DB_Store
CCRC-DSO数据安全官,CCRC-DSA数据安全评估师,CCRC-DCO数据合规官,CDO首席数据官, ITSS IT服务项目经理,IT服务项目工程师,ISO27001,CISP,软考,CISAW应急服务方向,CISAW渗透测试方向,安全集成方向,个人信息保护方向,电子数据取证方向,软考,CDGA,CDGP,CDMP,CCSC网络安全能力认证办理马老师13521730416/13391509126.
第五部分:时间和行为
能否信赖创建时间?添加时间与上次打开时间
MacOS 时间规则总结,最近打开的文件和程序
最近访问的服务器
最近加载的磁盘
学习使用 Python 脚本解析时间和行为