揭秘苹果智能平台:macOS WiFi连接事件的取证新发现

本文深入分析了苹果智能平台(Apple Intelligence)中记录WiFi连接事件的内部数据库,探讨了其取证价值和数据结构,并介绍了mac_apt与Velociraptor相关的取证工具插件。

New Wifi database from Apple intelligence

苹果智能平台,尽管在2024年(几个月前)才正式随macOS 15.1发布,但在过去一年多的时间里,它已在大多数macOS和iOS系统的测试版中存在。它仅适用于苹果的M1及更新的处理器,以及macOS 15.1及以上版本。然而,在所有至少运行macOS 14的Mac电脑上,你应该可以在以下路径找到对应的文件夹: /Users/<USER>/Library/IntelligencePlatform

因此,即使我的系统不受支持,上面提到的文件夹依然存在。从取证角度来看,我并未在这些数据库中发现太多引人兴趣的内容(除了WiFi数据!)。但这或许也因为我使用的设备不受支持(我尚未使用Apple Silicon芯片的Mac)。

WiFi数据位于以下路径数据库的 wifiContextEvents 表中: /Users/<USER>/Desktop/IntelligencePlatform/Artifacts/internal/views.db

数据本身非常直观易懂。每次连接或断开一个WiFi网络时,这里都会创建一个事件记录。到目前为止,我发现这主要包含当前月份的事件,但有时也会追溯到几个月前。这个数据库会被定期清空。

时间戳是Cocoa(NSDate)类型,可以轻松地转换回人类可读的格式。

取证解析工具

  • mac_apt:已为此创建了一个名为 WIFI_INTELLIGENCE 的插件。
  • Velociraptor:相关取证构件已创建并提交至 Artifact Exchange。

发布日期:2025年1月22日 星期三 标签:数字取证与事件响应(dfir), macOS, wifi

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次