Herramientas para análisis forense en sistemas Mac OS X.
|
Existen tres herramientas gratuitas ideales para análisis forense de sistemas Mac OS X que son: Disk Arbritrator, OS X Auditor y Mac memoryze.
Disk Arbitrator es una utilidad diseñada para ayudar a realizar los procedimientos forenses correctos durante la exploración de un dispositivo de disco. Cuando está activada, bloquea el montado de sistemas de archivos para evitar el montado como lectura y escritura y la violación de la integridad de las pruebas. Es importante señalar que no es un bloqueador de software de escritura, no cambia el estado de los dispositivos conectados, ni afecta a los dispositivos recién conectados.
Más información y descarga de Disk Arbitrator:
https://github.com/aburgh/Disk-Arbitrator
OS X Auditor es una herramienta de análisis forense para Mac OS X. Esta herramienta analiza el sistema o una copia del mismo, buscando las siguientes partes:
- Las extensiones del kernel.
- Los agentes del sistema y demonios.
- Agentes de terceros y demonios.
- Elementos de inicio del sistema.
- Agentes de los usuarios.
- Archivos descargados de los usuarios.
- Las aplicaciones instaladas.
Extrae las siguientes invidencias forenses relativas a los usuarios de la maquina:
- Los archivos en cuarentena.
- El historial de Safari: descargas, sitios mas visitados, ultima sesión y bases de datos HTML5.
- El localstore de los usuarios de Firefox: cookies, descargas, historial de formularios, permisos, lugares y inicios de sesión.
- El historial de Chrome: cookies, datos de inicio de sesión, los mejores sitios, datos de la web, bases de datos y el almacenamiento local de HTML5.
- Las cuentas sociales y correo electrónico.
- Los puntos de acceso WiFi del sistema, auditando donde ha sido conectada tratando de geolocalizarlos.
- También busca palabras clave sospechosas en los propios “.plist”.
Se puede verificar la reputación de cada archivo en busca de malware, utilizando los servicios: Team Cymru’s MHR, VirusTotal, Malware.lu y su propia base de datos local. Puede agregar en una zipball todos los registros de los siguientes directorios: “/var/log (-> /private/var/log)”, “/Library/logs” y “nombreusuario~/Library/logs”.
Finalmente, los resultados pueden ser presentados como: un archivo de registro sencillo txt, un archivo de registro HTML o enviado a un servidor Syslog.
Más información y descarga de OS X Auditor:
https://github.com/jipegit/OSXAuditor
Memoryze para Mac es un software forense que ayuda al estudio de evidencias en memoria RAM de sistemas Mac OS X. Memoryze puede adquirir y analizar imágenes de la memoria. El análisis se puede realizar en imágenes de la memoria fuera de línea o en sistemas vivos.
Más información y descarga de Memoryze:
http://www.mandiant.com/resources/download/mac-memoryze