当前位置: www.2977.com > 新闻中心 > 技术分享 > 【澳门葡京技术分享】第六十五期:macOS Unified Log取证分析

【澳门葡京技术分享】第六十五期:macOS Unified Log取证分析

【澳门葡京技术分享】第六十五期:macOS Unified Log取证分析


编者按

2016年9月份苹果公司发布了macOS 10.12操作系统,宣布从该版本开始引入新的日志格式替换传统的文本日志。新的日志格式官方命名“Unified Log”,直译为“统一日志”。苹果公司对外只提供读写日志的接口,但是文件格式不对外公开。众所周知,系统日志包含大量信息,对取证具有重要意义。本期线上澳门葡京网址技术专家将与我们分享对该日志系统的研究分析,一起来了解一下吧。



一、特点

1.1

全平台通用

 

Unified Log是苹果公司全平台通用的日志格式,iOS 10.0、macOS 10.12、tvOS 10.0、watchOS 3.0及更新的系统采用这种新的日志格式。


1542331991314851.png

(图1-1:全平台通用 - 来自官网)



1.2

包含大量信息

 

它包含USB设备使用记录、云连接设备、邮件同步、网络连接、外部设备使用记录、系统备份等大量信息。


1542332012409239.png

(图1-2:日志内容- 来自官网)



1.3

结构复杂

 

不同于传统的文本格式日志,它是一套完整的日志系统,存储的数据结构复杂。


1542332030991078.png

(图1-3:macOS Unified Log系统框架)



1.4

缺乏资料

 

日志文件保存在多个后缀为tracev3的日志文件中,tracev3文件使用专用的压缩二进制格式,官网明确表示不对外公开,不允许直接访问日志文件的内容,只能通过闭源工具比如log命令工具读取。


1542332050653296.png

(图1-4:tracev3日志文件格式 - 来自官网)



二、存放位置

日志存放在/var/db/diagnostic和/var/db/uuidtext两个目录下的多个文件中,磁盘空间不够用的情况下,旧的消息会被覆盖。共有5种消息类型:Default, Info, Debug, Error, Fault。Default是系统消息类型,保存在/var/db/diagnostic/Persist目录下的多个tracev3文件中。


1542332067379929.png

(图2-1:日志存放位置)



三、tracev3 文件格式

3.1

tracev3 文件结构

 

tracev3文件是一种压缩的二进制格式,采用特有的嵌套结构记录每一条日志消息。每个tracev3文件包含一个系统信息区、多个UUID映射区、多个压缩的日志区。其中压缩日志区采用LZ4算法,这是目前压缩速度最快的开源算法之一。苹果公司在开源算法的基础上,在压缩帧加入了一些元素以达到性能的提升。


1542332085900914.png

(图3-1:tracev3文件结构)



3.2

压缩的日志区结构

 

压缩的日志区解压后的数据包含多个进程的日志区,每个进程又包含多个线程的日志,进程区记录这些线程的具体日志消息。


1542332114124598.png

(图3-2:压缩的日志区结构)



3.3

日志消息结构

 

解压缩的日志消息是二进制格式,每条消息的格式不尽相同,但是同一种消息比如USB设备使用记录的数据结构是相同的,可以通过macOS自带的工具查看明文展示的日志格式对比验证各个字段。


1542332134453524.png

(图3-3: USB设备插入的日志消息结构)



四、收集日志

4.1

通过操作系统收集

 

在苹果电脑上可以使用终端命令收集日志,日志被集中在system_logs.logarchive保存。


1542332157284037.png

(图4-1:使用终端命令收集日志)



4.2

通过取证软件系统收集

 

用户也可以通过取证软件导出,导出 /var/db/diagnostics和/var/db/uuidtext到一个文件夹,然后给这个文件夹加上后缀.logarchive。


1542332175678520.png

(图4-2:通过取证软件收集日志)



五、查看日志

5.1

使用Terminal.app

 

通过log show命令可以输出默认日志格式。


1542332195334121.png

(图5-1-1:默认日志格式)



用户可以加入参数过滤出特定的消息,具体参数通过log show -h命令查看。


1542332220896865.png

(图5-1-2:获取帮助信息)



例如过滤出USB设备使用记录:


1542332263337086.png

(图5-1-3:通过命令获取USB设备使用记录) 



5.2

使用Console.app

 

在macOS中双击日志文件会自动打开查看工具显示所有日志,在搜索框内输入关键字过滤,例如输入“USBMSC”,可以过滤出USB设备使用记录。


1542332295554152.png

(图5-2:输入关键字获取USB设备使用记录)



六、真实案例取证分析

6.1

背景

 

在计算机插入USB设备会在系统中留下日志记录,跟踪计算机中USB设备记录可以判断是否有交叉使用数据,而且USB设备的序列号是唯一标识符,对分析和解析案件有很重要的意义。在线上澳门葡京网址某次在线老葡京赌场请求,客户遇到一个难点问题是所有取证软件无法获取到USB设备使用记录。经分析该案件的检材是macOS 10.13系统,用的是Unified Log日志系统,据了解当时市面上取证软件都不能解析。


6.2

临时对策

 

由于案件紧急,线上澳门葡京网址技术团队当时采用了临时对策。先仿真启动macOS 10.13系统,再使用第5章节查看日志消息的方法获取USB设备使用记录。


6.3

便捷的新方法

 

使用临时对策必须先仿真启动系统,再使用终端输入特定命令或在日志查看工具中输入特定关键字,操作步骤繁琐而且对取证人员的专业性要求高,给取证工作带来很大不便。即将升级发布的线上澳门葡京网址取证大师V6版本将支持macOS 10.12+的日志解析,且基于该技术开发了解析USB设备使用记录的功能,用户只需要导入镜像文件或日志文件执行自动取证,等待片刻就可以在系统记录中看到USB设备使用记录,一步到位,简单快捷。



1542332313644529.png

(图6-3:用取证大师获取USB设备使用记录)



Unified Log是苹果公司全平台通用的日志格式,包含USB设备使用记录、外部设备使用记录、网络连接、云连接设备、邮件同步、系统备份等大量系统记录和用户记录,对取证具有重要意义。线上澳门葡京网址一直关注行业动向,注重产品的完善拓展,着力提升对用户的服务品质和用户体验。


近期,线上澳门葡京网址即将推出的取证大师V6版本将全面支持macOS 10.12+的日志解析,且基于该技术开发了支持USB设备使用记录解析的功能,后续我们将支持更多信息的获取,以呈现给用户更加优质的服务,敬请期待。