Mac OS的安全审计机制在电子取证中的应用
张 萍
【摘 要】大多数的计算机取证工作主要还是依靠现成的取证软、硬件,然而过度的依赖取证工具,有可能导致某些重要电子证据的遗漏。因此针对操作系统、文件系统等底层的研究才是进行计算机取证研究的方向。针对Mac OS系统自身的安全机制性能,分析其自带的安全审计机制在电子取证过程中的应用,为取证人员提供取证工具所无法检测到的重要电子证据。其中重点探讨了Mac OS的审计日志、诊断报告、崩溃日志和Plist文件在进行手动电子取证过程中可提供的大量有价值的电子证据和取证线索。 【期刊名称】计算机时代 【年(卷),期】2018(000)001 【总页数】5
【关键词】Mac OS;电子取证;安全机制;审计日志;崩溃日志
0 引言
计算机审计的目的是通过对证据的审查,确保被审查对象行为的真实性、正确性、合规性,审计的实施对象主要是操作系统的合法或非法用户,此处的证据包括被审查对象的过往行为和可访问的数据文件[1],其中提取证据的过程一般可被划归为电子取证范畴。
针对Windows操作系统的电子取证操作,是被较多人所熟知的[2],而苹果的操作系统由于相对于Windows而言使用的用户群体相对较窄,所以针对Mac OS的计算机取证研究稍显滞后。但近年来苹果操作系统的市场占有率迅速增长,根据统计机构NetMarketshare公布的数据[3],从2007年至2014年第
一季度,Mac的占有率从3.74%上涨到8.16%,其增幅超过1倍。虽然在最新统计(2017年9月)中Mac OS市场占有率下滑至6.29%,但始终稳居市场份额第二位,并且随着移动版操作系统iOS的广泛使用,使得更多用户意识到Mac OS与iOS搭配使用的好处,因此针对Mac OS的电子取证研究刻不容缓。
在Mac OS中审计(auditing)是其自身包含的一个子系统[4],它是由进程launchd(mac系统下通用的进程管理器,主要功能是进程管理)根据需要而启动的后台服务进程,这个进程不负责实际的审计日志记录,审计日志记录是由内核直接完成的。Mac OS的审计子系统对取证人员在发掘较为隐蔽的电子证据中可起到关键的辅助作用。在Windows操作系统中,系统或用户的行为是可以通过多种途径进行查看的,在Mac OS系统中的审计工作也与之相类似,但Mac OS自带的一些特殊性能可以帮助取证人员更便捷的找到电子证据[5]。本文以下将分别通过对Mac OS日志文件、诊断报告、崩溃日志和plist文件的审查进行详细探讨,分析可应用于手动电子取证的功能。
1 Mac OS的日志文件
Mac OS的审计日志一般存放在/var/audit目录下,日志文件的命名方式是start_time.stop_time(起始时间和中止时间),这个时间精确至秒。审计日志是持续生成的,因此下一个日志的start_time是上一个日志的stop_time(这里不包括因系统崩溃或重启而产生的日志文件),最后一个日志文件的stop_time是not_terminated。 可以通过“ls-ld/var/audit”命令来查看日志目录,“sudo ls-l/var/audit”命令可查看到具体的日志文件列表,如图1所示。
由图1可见Mac OS日志循环太过频繁,因此其审计子系统还提供一个特殊的审计管道设备/dev/auditpipe。用户态程序可以通过这个设备节点访问审计记录,审计管道设备节点只有root用户才能访问。例如,首先在Terminal中运行审计管道设备“praudit/dev/auditpipe”,然后启用屏幕保护程序锁住系统再转为Guest账户登录系统之后,Terminal中会出现对于这些操作行为的记录。图2显示的是以上行为在审计管道设备/dev/auditpipe中的一部分记录内容。一般每个记录都包含以下几方面的内容:
⑴header行,指明记录的行为类型,图2中截取的记录类型是用户验证(user authentication);
⑵subject行描述了主体进程,并顺序记录了审计用户ID、生效用户ID和组ID、实际用户ID和组ID、进程ID、会话ID、端口ID以及登录地址,在这里审计用户ID和实际用户ID可能是不同的;
⑶text行记录具体的行为结果,图2截取的第一条行为结果是验证用户ZPecho的密码,第二条是验证用户Guest的密码;
⑷return行为返回的内容,图2中第一条的返回是失败,第二条的返回代表成功验证用户“Guest”的密码。
Mac OS中的大量日志文件存储在/private/var/log和/Library/Logs路径下,另外还有应用程序的日志存储在每个用户的〈用户名〉/Library/Logs中。其中/private/var由于默认是隐藏文件夹,所以不会显示在Finder中,但是可以在终端中使用命令查看,或者在【前往】→【前往文件夹...】中输入/private/var/log跳转到该文件夹。
除此之外,在Mac OS中打开控制台程序,同样可以看到大部分的日志文件,
Mac OS的安全审计机制在电子取证中的应用
