Español | English
rss facebook linkedin Twitter

Live Forensics Mac OS X (I)

Cuando se trata de informes periciales o forenses, éstos deben ser objetivos, contrastables y replicables. En relación con este último requisito, aunque deseable, no siempre es factible, como en el caso de la medicina forense o, si lo trasladamos al terreno informático, al hacer una primera adquisición de datos volátiles. Pero esto no tiene porque suponer un problema si se documenta correctamente el procedimiento seguido.

Aún así, el analista forense no siempre va a poder realizar un análisis "online" previo a la creación de la imagen binaria, ya sea porque se encuentre con un sistema apagado, destruido o porque simplemente la casuística no lo recomienda en ese momento. Por ese motivo, una vez hechas las copias correspondientes, poder arrancar el sistema en un entorno virtualizado, aunque no reproduzca exactamente las condiciones previas a la adquisición , puede servir de ayuda y complemento al análisis "offline". Además, sería reproducible a posteriori.

Este método se usa de forma habitual para análisis de sistemas Windows y *nix, pero quizá esté menos extendido para el caso de los sistemas operativos de escritorio Apple. Por ello, se van a ver los pasos necesarios para, a partir de una imagen de un disco físico, crear y arrancar una máquina Virtual con el sistema motivo de análisis. Comenzando por VirtualBox y continuando en un segundo post con VMWare

Todo el proceso se ha realizado bajo la distribución de Linux Ubuntu 10.04, pero puede realizarse desde Windows igualmente o incluso Mac OS X. En este caso necesitaremos lo siguiente:
  • Qemu
  • VirtualBox 3.2.6 o superior.
  • Procesador con tecnología de virtualización.
Por lo tanto, el primer paso será convertir la imagen RAW que se ha obtenido previamente de la máquina física, a un disco virtual compatible con VirtualBox. Para ello se usa Qemu de la siguiente forma:

 $sudo qemu-img convert –f raw imagen.dd –O vdi imagen.vdi

También se podría realizar con el propio VirtualBox:

 $VBoxManage convertfromraw <filename> <outputfile>

Dependiendo del tamaño del disco, podrá tardar desde unos minutos, a varias horas.

A continuación se crea y configura una nueva máquina virtual. Se puede hacer desde la línea de comandos de la siguiente manera:

 $VBoxManage createvm --name MacOSX --ostype MacOS_64 --register --basefolder /VirtualMachines
 $VBoxManage modifyvm MacOSX --memory 1024
 $VBoxManage modifyvm MacOSX --accelerate3d on --vram 32
 $VBoxManage storagectl MacOSX --add sata --controller IntelAHCI --name SATAController
 $VBoxManage storagectl MacOSX --add ide --controller PIIX4 --name IDEController
 $VBoxManage storagectl MacOSX --name SATAController --hostiocache on
 $VBoxManage storagectl MacOSX --name IDEController --hostiocache on
 $VBoxManage modifyvm MacOSX --usb on --keyboard usb --mouse usb
 $VBoxManage storageattach MacOSX --storagectl SATAController --type hdd --port 0 --device 0 --medium /VirtualMachines/HDDs/imagen.vdi
 $VBoxManage modifyvm MacOSX --firmware efi64
 $VBoxManage setextradata MacOSX VBoxInternal2/EfiGopMode 4
$VBoxManage setextradata MacOSX VBoxInternal2/SmcDeviceKey "ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc"

Y se arranca la máquina:

 $VBoxManage startvm MacOSX 
(*)Donde MacOSX es el nombre que se da a la Máquina virtual y /VirtualMachines el directorio donde se almacenará

Por supuesto, también es posible crear la máquina virtual en VirtualBox a través del asistente de la interfaz gráfica, seleccionando como sistema operativo Mac OS X Server, y modificando posteriormente la configuración de la siguiente forma:
  • Sistema/Placa Base: Se desmarca "Disquete"
  • Sistema/Aceleración: Se deshabilita la "Paginación Anidada"
  • Pantalla/Vídeo: Se establecen más de 32 MB de memoria y se marca la aceleración 3D
  • Almacenamiento/IDE Controller & SATA Controller: Se marca "Usar la cache anfitrión de E/S"
  • USB: Se habilita la controladora USB
Después de esto, se cierra la interfaz y cualquier otro proceso relacionado completamente y se abre el archivo de configuración .vbox (antes .xml) en /VirtualMachines/MacOSX con un editor de texto y se añade lo siguiente en la sección <ExtraData>:

 <ExtraDataItem name="VBoxInternal2/EfiGopMode" value="4"/> 
<ExtraDataItem name="VBoxInternal2/SmcDeviceKey" value="ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc"/>

Por último, se procede a arrancar la máquina, para así poder proceder con el análisis "online" y obtener datos como procesos activos, capturas del tráfico de red, etc.



Santiago Vicente
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login