[Mac Forensics] 맥 포렌식과 맥 제품

안녕하세요. 도깬리 포렌식스 입니다.

금일부터는 Mac Forensics에 대해 알아 보겠습니다. 참고자료는 IACIS 2016 연수 자료입니다. Mac Forensics 를 현장에서 수행해야 하는 사례가 점점 많아지고 있습니다. 모두 화이팅하세요!!!

 

Traditional Forensic Methodology

애플 컴퓨터는 전세계에서 가장 많이 팔리는 컴퓨터입니다.

대부분의 컴퓨터 포렌식은 윈도우 기반 포렌식 도구로 윈도우 기반 파일 시스템에서 이루어 집니다.

대부분의 조사자들이 Mac을 만났을 때 첫번째 실수는 Macintosh 컴퓨터에 전통적인 윈도우 포렌식 기술과 도구를 적용하려고 한다는 것 입니다.

이것은 동그란 구멍에 네모난 못을 끼우려고 하는 것과 같은 이치 !... 입니다.

 

Apples and Oranges

윈도우 파일시스템과 매킨토시 파일시스템은 동일하게 설계되지 않았습니다.

윈도우는 매킨토시 파일시스템을 해석할 수 없습니다.

윈도우 포렌식 도구는 매킨토시 파일시스템을 적절하게 완전히 해석하기 위하여 설계되지 않았습니다.

이러한 이유로 조사자는 증거를 놓치고 귀중한 시간을 낭비할 수도 있습니다.

 

Intel Processor

2005. 6. 6. 애플은 인텔 프로세서로 교체한다고 발표를 하였습니다.

Resetta 기술을 이용하여 PowerPC 프로세서용으로 설계된 소프트웨어와의 하위 호환성을 유지하였습니다.

 

Power PC를 에뮬레이터하는 방식

차이점은 Big Endian이냐 Little Endian이냐의 차이 입니다.

교체는 2007년 이전에 완료되었습니다.

애플의 Boot Camp는 윈도우 XP(SP3) 이후 버전을 Intel 프로세서가 장착된 Mac에서 동작하게 하는 기술입니다.

 

Mac mini

 

iMac

All-in-One 디자인

 

Fusion Drive

SSD와 HDD를 마치 하나의 드라이브인 것처럼 결합해서 사용하는 기술입니다.

자주 사용하는 OS 파일, 시스템 파일은 SSD 영역에 저장하여 부팅과 프로그램 시작 속도를 높여 줍니다.

HDD에서 SSD로의 파일 이동은 백그라운드 상태에서 자동으로 일어납니다.

 

Mac Pro (2012)

 

Mac Pro (2013)

MacBook

 

MacBook Air

 

MacBook Pro

 

iPod Shuffle and Nano

iPod Touch

Technical Spaces (iPhone 5S)

Technical Spaces (iPhone 6S/6S Plus)

iPad

AirPort Extreme / Time Capsule

등등....

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)