Security Professionals - ipfw add deny all from eindgebruikers to any

Onderzoek van een MAC OSx harde schijf

23-02-2011, 09:43 door Anoniem, 18 reacties
Is er iemand die me kan vertellen hoe ik het beste een onderzoek uit kan voeren op een harde schijf waar MAC OSx op staat. Mijn probleem is als volgt:

Forensic Toolkit kan de bestanden op de schijf wel zien maar herkend het bestandssysteem niet. (dus ik kan de bestanden wel zien maar ik kan niet zien waar deze staan, lastig voor de bewijslast). Ik heb geen beschikking over een mac systeem maar alleen over een virtueel systeem. Het probleem is dat dit systeem alle input devices 'read only' mount waardoor ik geen data uit het station kan halen (ik kan het bestandssysteem dus wel zien maar mijn bevindingen niet uit het systeem halen).

Iemand tips, behalve dat ik een MAC-systeem aan moet schaffen....?
Reacties (18)
23-02-2011, 11:18 door SirDice
Forensic Toolkit kan de bestanden op de schijf wel zien maar herkend het bestandssysteem niet. (dus ik kan de bestanden wel zien maar ik kan niet zien waar deze staan, lastig voor de bewijslast).
Om de bestanden uberhaubt te kunnen zien moet je het filesystem herkennen.
23-02-2011, 11:22 door Syzygy
Je bedoelt dat je van af Windows wel de bestanden ziet maar Windows kan ze niet lezen ??

Wellicht kun een Mac systeem lenen, of bij iemand met een Mac even de bestanden bekijken ??
23-02-2011, 11:25 door Anoniem
Je kan TransMac gebruiken, dan kan je via windows bladeren door de bestanden op de Mac schijf.
http://www.asy.com/scrtm.htm
23-02-2011, 11:32 door SirDice
Ik heb geen beschikking over een mac systeem maar alleen over een virtueel systeem.
Over virtueel gesproken, het mag niet van de EULA maar waarom zet je geen Mac in een virtual machine op?
23-02-2011, 11:34 door Anoniem
Door Syzygy: Je bedoelt dat je van af Windows wel de bestanden ziet maar Windows kan ze niet lezen ??

Wellicht kun een Mac systeem lenen, of bij iemand met een Mac even de bestanden bekijken ??

Precies dat bedoel ik. (Ik zie ze alleen als ik de schijf inlees met Forensic Toolkit
23-02-2011, 16:46 door voidnecron
Zou je niet gewoon een liveCD downen van Backtrack, booten in forensics mode en daarmee de disk kopieren/imagen/whatever (niet mounten!! Nooit een disk mounten waarop je onderzoek wilt plegen!!)
24-02-2011, 09:46 door Anoniem
je kan je afvragen of je dit onderzoek wel zou moeten doen als je duidelijk niet over genoeg clue beschikt.
24-02-2011, 09:51 door Anoniem
Als hij het bestand systemen alleen read-only mount worden ze waarschijnlijk automatisch gemount met de -r optie.
"unmount" het filesystem en mount het vervolgens met:

"mount -w /dev/sdx /mnt"

Waar bij /dev/sdx je mac hd is. /mnt is de locatie waarje het filessystem wil mounten, dat kan ook een willekeurige locatie zijn. De -w optie zorgt er voor dat het filesystem writable is.

Meer informatie over mount vind je hier:
http://linux.die.net/man/8/mount

Su6!

bl33p
24-02-2011, 13:09 door Anoniem
Hum als je accessdata bedoelt die herket het wel evenals encase, heb je alleen gratis tools probeer sleuthkit eens of ftk imager
24-02-2011, 13:39 door Anoniem
Vraag me af of je wel de basis regels kent?
HFS Plus of HFS onderzoek je met een Macosx.
24-02-2011, 15:00 door Anoniem
Wie gaat er nou Forensics doen met een Windows systeem?
Dat is hetzelfde als een kerncentrale besturen met een SCADA systeem.....
24-02-2011, 18:00 door Anoniem
Precies zoals er 13.39 is gezegd.

Hallo , waar zijn we nu helemaal mee bezig?

Dus tip: Schaf een Mac aan.
24-02-2011, 22:24 door Anoniem
http://www.macforensicslab.com/
25-02-2011, 10:02 door vinylat45
Echt weer een knuppel die problemen heeft, en dan stug blijft proberen om het onder Windows voor elkaar te krijgen.

Gebruik eens een volwassen OS, voor de verandering.

.
25-02-2011, 10:37 door Anoniem
Door Anoniem: Vraag me af of je wel de basis regels kent?


Als ik het zo bekijk, dan is het antwoord hierop duidelijk!

De integriteit van de schijf is inmiddels aangetast en kan dus niet meer gebruikt worden als bewijslast.
Leuk voor een prive onderzoekje, maar niet voor het echte werkt.
25-02-2011, 12:13 door Anoniem
Probeer het eens met een ubuntu live cd.
Hie kan je het bestands systeem van Apple ook gewoon op lezen.
26-02-2011, 15:11 door Anoniem
Ik heb denk ik het beste antwoord: http://tinyurl.com/4vw5hxb
26-02-2011, 15:34 door Anoniem
De integriteit van de schijf is inmiddels aangetast en kan dus niet meer gebruikt worden als bewijslast.
Dat is natuurlijk niet waar. Zolang als je kunt beschrijven wat je allemaal hebt gedaan met die schijf, en je kunt onder woorden brengen wat er evt veranderd is, hoeft er niks aan de hand te zijn.

Zo zwart/wit moet je echt niet denken, als het gaat om forensische bewijslast.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.