效率源数据恢复论坛

 找回密码
 免费注册

QQ登录

用新浪微博登录

快捷导航
查看: 2931|回复: 0
打印 上一主题 下一主题

Mac日志文件结构与提取分析

[复制链接]

646

主题

809

帖子

3587

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3587
跳转到指定楼层
楼主
发表于 2017-4-6 14:13:45 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
【文章来源:效率源科技(微信号)】微信号:xiaolvyuantech

      编者按:在PC端的电子数据取证过程中,针对Mac电脑日志进行分析提取是一项重要内容。由于Mac日志文件在window系统上并不能直接识别,因此需要对其结构进行解析。本期,数据恢复四川省重点实验室科研人员将介绍Mac日志文件的结构,以及如何利用效率源DF电子数据分析系统对其进行分析提取。


一、什么是Mac日志文件

      Mac日志文件是记录电脑系统应用程序和服务活动的文件,其后缀名为.asl,全名为Apple System Log。通过研究发现,Mac日志文件按天存储,主要分为系统日志、安装器日志、无线连接日志、VPN连接日志、内核日志、诊断日志和电源管理日志7大类别,存储格式均为asl。由于Mac日志数据存储方式为二进制,在Window系统上并不能直接识别该文件,因此需要对其中的asl日志文件结构进行解析。


二、Mac日志文件结构

      1.日志头部

      Mac日志文件存储结构均为asl。研究发现,asl文件由文件头部+日志记录组成,文件头部长度为80字节的固定长度,其结构如图1。

图1

      日志头部文件记录了首条日志记录在文件中存储的位置,每条记录会记载下一条日志记录的偏移量。每条日志记录长度为非固定长度,其结构如图2。

图2

      2.日志等级

     Mac日志文件等级按照0-7分为8个等级,每个数字代表不同的含义,如图3。

图3

      3.ASL STRING字符串格式

      ASL String是一种特殊的字符串存储格式:

      当存储的字符串<=7字节,就将首字节首位设为1,剩余7个字节存储字符串数据,字符串长度不足7字节用0x00填充;

      当存储的字符串>7字节,就将首字节首位设为0,以整个8个字节作为真实数据的偏移量,指向存储的字符串。

      字符串数据长度<=7字节示例:

图4

      首字节0x86的二进制表示为:10000110,首位是1,即后面7个字节代表存储的字符串数据,编码方式为UTF-8,解析出结果为“powerd”,如图4所示。

      字符串数据长度>7字节示例:

图5

      首字节的二进制表示为:0000 0000,即整个8个字节代表字符串在整个日志文件的偏移量,利用winhex工具跳转到对应数据,如图6所示。

图6

       该字符串长度为0x0B,编码方式为UTF-8,解析出结果为HogandeMBP,如图7。

图7

备注:

      时间均为unix时间戳(UTC),以1970-01-01 00:00:00作为基准时间;字节存储顺序为大端存储。


三、利用DF解析Mac日志数据

      1.运行效率源DF电子数据分析系统,添加Mac镜像文件并加载Mac日志文件,如图8。

图8

      2.点击自动取证,选择Mac系统日志并开始提取,如图9。

图9

      3.查看日志解析结果,如图10。

图10



四、结语

      本期,数据恢复四川省重点室科研人员介绍了Mac日志文件的结构,以及如何利用源DF电子数据分析系统对其进行分析提取。DF电子数据分析系统作为一款专门针对电子数据进行分析的专业设备,具有快速取证、数据提取、痕迹提取、数据分析、分析报告等功能,在电子数据取证过程中发挥了重要作用。



分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

关闭

站长推荐上一条 /3 下一条

Copyright(C)2015-2016 四川效率源信息安全技术股份有限公司 版权所有|蜀ICP备09015844号|效率源数据恢复论坛  

GMT+8, 2024-11-27 23:03 , Processed in 0.180636 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2014 技术支持: Weixiaoduo.com

快速回复 返回顶部 返回列表