Analyse de la liste des propriétés Apple avec EnScript

Le troisième blog de la série fait suite à Utilisation de l’analyseur de base de données SQLite générique EnScript dans l’examen médico-légal d’un appareil mobile, se concentrera sur la liste des propriétés Apple (plist). Les plists sont utilisées pour stocker des informations relatives à l’utilisateur et au système et se trouvent généralement au format binaire ou XML, certaines seront pertinentes dans les examens DFIR des appareils Apple.

Bien qu’OpenText™ EnCase™ et OpenText™ EnCase™ Mobile Investigator disposent d’une fonctionnalité automatisée pour analyser et présenter le contenu de certains plists iPhone et iPad, il peut être nécessaire d’analyser d’autres et d’étendre la portée des artefacts pris en charge.

En commun avec le blog précédent où les programmes EnScript ont été introduits pour visualiser et analyser les bases de données SQLite, EnScript est à nouveau le sauveur. La capacité d’analyser Apple plist est la fonction soit :

• Analyseur générique de Plist EnScript
• Plug-in EnScript pour la visionneuse de listes

L’analyseur générique de plist peut automatiser l’analyse simultanée de plist, tandis que le plug-in Plist Viewer est idéal pour une analyse individuelle ou ad hoc. Ces deux programmes EnScript ont une place dans la boîte à outils EnCase, ils sont inestimables et je ne pourrais pas me passer de cela.

Le plugin Plist Viewer est idéal lors de la recherche d’une nouvelle liste de propriétés, peut-être à partir d’une mise à jour iOS ou d’une nouvelle application d’intérêt. Bien qu’il y ait beaucoup plus de fonctionnalités dans le plugin Plist Viewer, il offre une excellente fonctionnalité pour jeter un coup d’œil rapide sur le contenu d’un plist et décider de la pertinence. Pouvoir lancer à partir du menu contextuel le rend simple et rapide à utiliser.

Prenons par exemple une liste de propriétés binaires d’iOS appelée IconState.plist, qui peut être examinée pour déterminer la disposition de l’application pour un ou plusieurs écrans d’accueil d’iPhone ou d’iPad. En lançant le plug-in Plist Viewer à partir du menu contextuel, le contenu pertinent peut être mis en signet pour être utilisé dans un rapport ou écrit dans un fichier de preuve logique (LEF). De plus, des options sont présentes dans la sortie du plug-in Plist Viewer pour mettre en signet ou écrire dans LEF la structure analysée complète du plist

Le plugin Plist Viewer a été inestimable lors de la recherche et de l’examen des bases de données SQLite BrowserState.db et SafariTabs.db. Selon la version d’iOS ou d’iPadOS, ils peuvent être utilisés par Safari mobile pour maintenir un « état » des onglets ouverts dans le navigateur.

Alors, comment une visionneuse Plist aide-t-elle à examiner une base de données SQLite ?

BrowserState.db et SafariTabs.db contiennent tous deux des champs qui utilisent un type de données BLOB pour stocker la liste des propriétés. SafariTabs.db étant la base de données la plus récente, en l’utilisant comme exemple.

Au cours de la recherche initiale, le BLOB du attributs_locaux Le champ a été initialement extrait directement de la base de données SQLite et introduit dans EnCase, puis pour plus d’efficacité à l’aide de l’extracteur de BLOB SQLite EnScript.

Dans les deux cas, un plist devait être analysé.

En utilisant le plug-in Plist Viewer comme outil de recherche, l’affichage de la structure a exposé un plist binaire intégré, SessionState.

La recherche et l’examen, utilisant initialement un visualiseur SQLite externe et le plug-in Plist Viewer dans EnCase, ont montré des références à des pages Web qui avaient été parcourues dans des onglets Safari ouverts, même si cet onglet ouvert est « privé ». Activité liée à Internet «privée» assez soignée qui n’aurait pas été découverte dans l’histoire d’Internet.

Cela a conduit au développement d’EnScripts qui ont automatisé le processus :

• Analyseur BrowserState.db
• Analyseur SafariTabs.db

Illustré ci-dessous, la sortie de l’analyseur SafariTabs.db EnScript met en évidence l’un des enregistrements analysés où un onglet Safari ouvert a été utilisé pour la navigation privée. Le contenu analysé inclut celui de la plist binaire stockée en tant que BLOB illustré précédemment, et la plist binaire intégrée comme on le voit avec le plug-in Plist Viewer dans EnCase.

En raison de la prévalence accrue d’Apple utilisant un type de données BLOB pour stocker des plists dans des bases de données SQLite, le SQLite BLOB Extractor EnScript a été mis à jour pour automatiser l’analyse du BLOB en tant que plist :

Le Generic Plist Parser EnScript excelle dans l’analyse simultanée de plusieurs listes de propriétés, y compris la fonctionnalité de préconfiguration avec des plists connus, ceux qui sont inestimables pour toute enquête. Ils peuvent être sélectionnés et analysés efficacement au tout début de l’examen médico-légal.

Comme on peut le voir ci-dessous, une sélection de plists iOS a été configurée de manière personnalisée dans Plist Parser. Certains artefacts de ceux-ci peuvent ne pas être automatiquement analysés par EnCase, mais sont rendus possibles par l’excellent support d’EnScript. Le pouvoir est entre les mains de l’examinateur, ce qui permet une personnalisation et une flexibilité totales, ce qui est particulièrement crucial dans le domaine en constante évolution de la criminalistique des appareils mobiles.

EnCase propose des fonctionnalités et une prise en charge pour une gamme d’appareils mobiles et d’artefacts. Comme cela a été discuté dans cette série de blogs, un examinateur peut aller au-delà de cette fonctionnalité de base et étendre la portée de l’artefact. Que ce soit pour un nouvel artefact qui est essentiel à un examen médico-légal ou pour valider la sortie de l’outil médico-légal, il existe une collection d’EnScripts pour faciliter l’analyse des structures de données discutées.

L’équipe de formation qualifiée des services d’apprentissage EnCase possède des années d’expérience des produits, des services et de la formation d’EnCase Security.

Les EnScripts discutés sont démontrés et utilisés pendant les deux DF125 Examens d’appareils mobiles avec EnCase et le Examens DF420 Mac avec EnCase cours. Ils peuvent être enregistrés et achetés individuellement ou pris dans le cadre du Abonnement à l’apprentissage OpenText, édition de sécurité Premium .