苹果智能平台中的新型WiFi数据库取证分析

本文深入分析了苹果智能平台中新增的WiFi数据库,详细介绍了数据库位置、数据结构、事件记录方式,并提供了mac_apt和Velociraptor等取证工具的解析插件信息。

新型WiFi数据库来自苹果智能平台

苹果智能平台虽然仅在2024年(几个月前)正式发布,适用于macOS 15.1(Sequoia),但已在大多数macOS和iOS系统的测试版中存在超过一年。它仅适用于苹果的M1及更高版本处理器,以及macOS 15.1(及更高版本)系统。然而,在所有至少运行macOS 14的Mac电脑上,您应该能在以下位置找到对应的文件夹:

/Users/<USER>/Library/IntelligencePlatform

尽管我的系统不受支持,但仍然存在上述文件夹。从取证的角度来看,我在这些数据库中并没有发现太多有趣的内容(除了WiFi数据!)。但这可能也是因为我没有运行受支持的设备(我尚未使用苹果芯片)。

WiFi数据位于以下路径的数据库中的wifiContextEvents表内:

/Users/<USER>/Desktop/IntelligencePlatform/Artifacts/internal/views.db

这些数据非常直观易懂,每次连接或断开WiFi网络时,都会在此创建一个事件。到目前为止,我主要看到的是当月的事件,但有时这些事件也会追溯到几个月前。该数据库会定期清空。

时间戳只是Cocoa(NSDate)类型,可以轻松转换为人类可读的格式。

取证解析工具

mac_apt - 已创建WIFI_INTELLIGENCE插件。

Velociraptor - 已创建取证组件并提交至Artifact Exchange。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次