Entwicklung eines Prozesses zur forensischen Post-Mortem-Analyse von macOS-Systemen, Markus Báguena Ellers

Markus Báguena Ellers

Kurzfassung

In Anbetracht der zunehmenden Verbreitung von Macintosh-Computern und deren proprietären Sicherheitstechniken wächst die Bedeutung effektiver forensischer Analysemethoden. Diese Abschlussarbeit befasst sich mit der Entwicklung eines Prozesses zur forensischen Post-Mortem-Analyse von macOS-Systemen, wobei der Schwerpunkt auf der Anwendung von Open-Source- und Standardwerkzeugen liegt. Ziel ist es, den aktuellen Stand der Technik darzustellen und eine Methode für die Datenerfassung und Analyse zu erarbeiten. Ein geeignetes *nix-basiertes Betriebssystem soll als Grundlage für eine optimierte IT-forensische Workstation dienen.

Schlagwörter: Apple, macOS, IT-Forensik, Post-Mortem-Analyse, APFS, Mac, File-Vault, Imaging, Live-Datenerfassung, Silicon, T2-Sicherheitschip

Abstract

With the increasing adoption of of Macintosh computers and their proprietary security techniques, the importance of effective forensic analysis methods is growing. This thesis deals with the development of a process for the forensic post-mortem Analysis of macOS-systems, focussing on the application of open-source- and standardtools. The aim is to present the current state of the art and to develop a method for data Acquisition and analysis. A suitable *nix-based operating system should serve as the basis for an optimised IT forensic workstation.

Keywords: Apple, macOS, IT forensics, post-mortem analysis, APFS, Mac, FileVault, imaging, live aquisition, Silicon, T2 security chip