Herramientas para análisis forense en sistemas Mac OS X.

Existen tres herramientas gratuitas ideales para análisis forense de sistemas Mac OS X que son: Disk Arbritrator, OS X Auditor y Mac memoryze.

Disk Arbitrator es una utilidad diseñada para ayudar a realizar los procedimientos forenses correctos durante la exploración de un dispositivo de disco.  Cuando está activada, bloquea el montado de sistemas de archivos para evitar el montado como lectura y escritura y la violación de la integridad de las pruebas. Es importante señalar que no es un bloqueador de software de escritura, no cambia el estado de los dispositivos conectados, ni afecta a los dispositivos recién conectados.

Más información y descarga de Disk Arbitrator:
https://github.com/aburgh/Disk-Arbitrator

OS X Auditor es una herramienta de análisis forense para Mac OS X. Esta herramienta analiza el sistema o una copia del mismo, buscando las siguientes partes:

  • Las extensiones del kernel.
  • Los agentes del sistema y demonios.
  • Agentes de terceros y demonios.
  • Elementos de inicio del sistema.
  • Agentes de los usuarios.
  • Archivos descargados de los usuarios.
  • Las aplicaciones instaladas.

Extrae las siguientes invidencias forenses relativas a los usuarios de la maquina:

  • Los archivos en cuarentena.
  • El historial de Safari: descargas, sitios mas visitados, ultima sesión y bases de datos HTML5.
  • El localstore de los usuarios de Firefox: cookies, descargas, historial de formularios, permisos, lugares y inicios de sesión.
  • El historial de  Chrome: cookies, datos de inicio de sesión, los mejores sitios, datos de la web, bases de datos y el almacenamiento local de HTML5.
  • Las cuentas sociales y correo electrónico.
  • Los puntos de acceso WiFi del sistema, auditando donde ha sido conectada tratando de geolocalizarlos.
  • También busca palabras clave sospechosas en los propios “.plist”.

Se puede verificar la reputación de cada archivo en busca de malware, utilizando los servicios: Team Cymru’s MHR, VirusTotal, Malware.lu y su propia base de datos local. Puede agregar en una zipball todos los registros de los siguientes directorios: “/var/log (-> /private/var/log)”,  “/Library/logs” y “nombreusuario~/Library/logs”.

Finalmente, los resultados pueden ser presentados como: un archivo de registro sencillo txt, un archivo de registro HTML o enviado a un servidor Syslog.

Más información y descarga de OS X Auditor:
https://github.com/jipegit/OSXAuditor

Memoryze para Mac es un software forense que ayuda al estudio de evidencias en memoria RAM de sistemas Mac OS X. Memoryze puede adquirir y analizar imágenes de la memoria. El análisis se puede realizar en imágenes de la memoria fuera de línea o en sistemas vivos.

Más información y descarga de Memoryze:
http://www.mandiant.com/resources/download/mac-memoryze

Deja un comentario