• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья macOS Catalina 10.15.1 один из способов получения копии данных для дальнейшего изучения

Бывают случаи когда нет возможности извлечь SSD, HDD из устройств macOS, то нужно распаивать экран или сложность разборки, а информацию получить для дальнейшей обработки нужно. Способы с загрузкой разных дистрибутивов особенно Linux для команды DD не дают результат или получаем образ системы который не может распознать: FTK, X-Ways, belkasoft, а программные продукты UFS Explorer, R-Studio так же результатов не дают, хотя тут я немного преувеличил так как программа DMDE (DM Disk Editor and Data Recovery Software) с такого не понятного образа восстанавливает файлы (жаль что без имён) но она всё таки даёт рабочие файлы.
Второй шаг

1_.jpg


в операционной системе может быть включено шифрование "FileVault", в системе которая попала мне в руки все учетные записи были защищены паролем, но в самой системе не был включен FileVault.

Сброс пароля в Catalina 10.15.1 прошел очень просто:
Включите Mac и после того, как раздастся звук включения, зажмите на клавиатуре клавиши CMD+R.
Под значком яблока появится строка прогресса, компьютер загружается в режим восстановления Recovery Mode.
В Строке меню Apple выберите Utilities и затем Terminal.
В новом окне введите команду resetpassword и нажмите клавишу Enter.
Все пароли сменил и тут началось самое не удобное, все снятые образы ни как не обрабатывались, и тут в помощь пошел сам функционал системы, а именно "Дисковая утилита"
2.jpg
которая великолепно показала все данные которые нужны для дальнейшего криминалистического анализа, далее смотрим фото ниже (отображение папок в операционной системе)
3.jpg
Доступные данные пользователей операционной системы
4.jpg
Для изучения, сбора данных и выгрузки информации нам нужно всё, до чего дотягиваются наши ручки, это: Applications, Library, System, Users.
Наши действия Меню: "Файл"->"Новый образ"->"Образ из папки"
5.jpg
Пример создания копии одной из интересующих нас папок "Users"
6.jpg
В результате мы получим образ с расширением *.dmg - его мы сможем открыть всеми программными продуктами которые умеют работать с файловой системой macOS
7.jpg

Я понимаю что статьёй этот материал назвать нельзя, но как один из способов инструкцией как поступать в определённой ситуации - имеет право на жизнь
(надеюсь это кому то сбережет нервы и время, для решения поставленной задачи снятия данных)
 

Igor_Mich

Green Team
13.05.2019
17
8
BIT
0
MacOS 2017 шифруется по умолчанию. В данном случае пользователь компьютера сильно постарался. Нашел нужное место в настройках и отключил шифрование. Сам себе злобный буратино.
 

Andrew007

New member
12.11.2018
1
0
BIT
4
Последние версии R-Studio открывают RAW-образы зашифрованных систем APFS (в том числе и сделанные утилитой dd)
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Последние версии R-Studio открывают RAW-образы зашифрованных систем APFS (в том числе и сделанные утилитой dd)
если сам mac с двумя носителями на которые установлены системы - M.2 + HDD, то ни каким образом и дистрибутивом с командой DD и другими программами с загрузочных дисков получить образы которые потом можно смонтировать или распознать дают нулевой результат, такой случай уже был в моей практике, создание разными способами образа с системы заняло три недели, поверьте на слово, по этому и написал что есть и такое решение.
 
  • Нравится
Реакции: cyber1337 и Krabs777

Cyifi6

Green Team
15.10.2019
49
36
BIT
4
У меня по-умолчанию не шифровалось ничего (на январь 2019 г.). Руками запускал функцию FileVault в настройках.
 
  • Нравится
Реакции: Sunnych

Krabs777

Member
14.08.2020
9
0
BIT
0
если сам mac с двумя носителями на которые установлены системы - M.2 + HDD, то ни каким образом и дистрибутивом с командой DD и другими программами с загрузочных дисков получить образы которые потом можно смонтировать или распознать дают нулевой результат, такой случай уже был в моей практике, создание разными способами образа с системы заняло три недели, поверьте на слово, по этому и написал что есть и такое решение.

Надеюсь я попал не в такую же ситуацию, прошу помочь.

Macbook Pro 2019 зашифрован Filevault, без чекбокса "восстановление через айклауд". Пароля от учетной записи конечно же нету, Из айклауда я извлек токен для дальнейшей расшрифовки посредством Elcomsoft Disc Decryptor. Осталось только снять образ этой зашифрованной системы. Загружаю Мак, вхожу в дисковую утилиту через Command + R, пытаюсь создать образ системы и конечно же эта функция недоступна, прикрепляю фото.

Что можете посоветовать предпринять в этой ситуации? Благодарю за ответ.

photo_2020-08-14 16.38.39.jpeg photo_2020-08-14 16.38.41.jpeg
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Надеюсь я попал не в такую же ситуацию, прошу помочь.
Macbook Pro 2019 зашифрован Filevault, без чекбокса "восстановление через айклауд". Пароля от учетной записи конечно же нету, Из айклауда я извлек токен для дальнейшей расшрифовки посредством Elcomsoft Disc Decryptor. Осталось только снять образ этой зашифрованной системы. Загружаю Мак, вхожу в дисковую утилиту через Command + R, пытаюсь создать образ системы и конечно же эта функция недоступна, прикрепляю фото.
Что можете посоветовать предпринять в этой ситуации? Благодарю за ответ.
Или разбирать и делать физический образ, или перебором дистрибутивы загрузочных Linux - это то как мне приходилось делать, 100% решения сразу не будет , сам каждый раз перебираю, железо то у маков то же разное
 
  • Нравится
Реакции: cyber1337 и Krabs777

Krabs777

Member
14.08.2020
9
0
BIT
0
Или разбирать и делать физический образ, или перебором дистрибутивы загрузочных Linux - это то как мне приходилось делать, 100% решения сразу не будет , сам каждый раз перебираю, железо то у маков то же разное

А где можно почитать как это делается, я просто в этой теме недавно, в линуксе полный ноль, но изучить и разобраться хочу. Я так понял нужно перебирать такие дистрибутивы как например:
  1. ArchBang
  2. Tiny Core Linux
  3. Elive
  4. Porteus
  5. Puppy Linux
  6. SliTaz
  7. WattOS
  8. Bodhi Linux
и другие?

Каков порядок действий, загрузится через флешку с линукса и вводить команду dd?
 

f123123

Grey Team
07.08.2018
19
89
BIT
0
А где можно почитать как это делается, я просто в этой теме недавно, в линуксе полный ноль, но изучить и разобраться хочу. Я так понял нужно перебирать такие дистрибутивы как например:
  1. ArchBang
  2. Tiny Core Linux
  3. Elive
  4. Porteus
  5. Puppy Linux
  6. SliTaz
  7. WattOS
  8. Bodhi Linux
и другие?

Каков порядок действий, загрузится через флешку с линукса и вводить команду dd?
Перебирать все не стоит, на такое уйдет пару жизней) Все зависит от задачи, если просто сидеть на десктопе и выполнять несложные задачи то и ubuntu подойдет(сам сидел по нужде) или Manjaro(он основан на арче, сам не сидел на нем, но предполагаю что если вам нужно дальнейшее углубление, то маны и сообщество вам поможет). После того как пару раз сломаете систему можно будет попытаться собрать арч с нуля под ваши запросы. Но все зависит от вашей задачи! По вашему вопросу: можно попробовать CAINE(разрабы пишут, что есть блок записи если вам это важно).
По шагам
  1. открываем консоль
  2. вбиваем sudo su
  3. fdisk -l - это команда для просмотра дисков
  4. mount –o rw /dev/drive, где drive это ваш накопитель на который вы хотите копировать. "mount" - команда для монтирования накопителя.
  5. dd bs=32K status=progress conv=noerror,sync if=/dev/source of=/media/target/image source - какой диск, target - куда диск, image - название образа.
Писал по памяти, мог ошибится и по этому лучше перечитать дополнительно по запросу поисковика"linux dd clone disk to image". Как вариант, если не важно изменение можно попробывать арч и воспользоватся арч Вам нужен раздел Create disk image.
 
Последнее редактирование:
  • Нравится
Реакции: Krabs777 и Sunnych

belforensic

Member
30.10.2020
5
0
BIT
0
неплохая но ПЛАТНАЯ штучка, подрубается к любому маку как загрузочная флешка и делается образ (у нас есть)
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
неплохая но ПЛАТНАЯ штучка, подрубается к любому маку как загрузочная флешка и делается образ (у нас есть)
Да есть и такое у меня но написал как один из способов, и да в данном конкретном случае она не спасла ситуацию
MacQuisition 2019 R1.jpg
 
  • Нравится
Реакции: derty
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!