苹果智能平台中的新型WiFi数据库取证分析

本文详细分析了苹果智能平台中新增的WiFi数据库,包括其存储位置、数据结构、时间戳格式以及相关的取证工具支持,为数字取证调查提供了重要技术参考。

新型WiFi数据库来自苹果智能平台

苹果智能平台虽然官方仅在2024年(几个月前)针对macOS 15.1(Sequoia)发布,但已在大多数macOS和iOS系统的测试版中存在超过一年。它仅适用于苹果的M1及更高版本处理器,以及macOS 15.1(及更高版本)。然而,在所有至少运行macOS 14的Mac电脑上,您应该在此处找到对应的文件夹: /Users/<USER>/Library/IntelligencePlatform

尽管我的系统不受支持,但仍然存在上述文件夹。从取证角度来看,我在这些数据库中没有发现太多有趣的内容(除了WiFi数据!)。但这可能也是因为我没有运行受支持的设备(我尚未使用Apple Silicon)。

WiFi数据位于此处表wifiContextEvents下的数据库中: /Users/<USER>/Desktop/IntelligencePlatform/Artifacts/internal/views.db

数据非常易于理解,每次连接或断开WiFi网络时,都会在此处创建一个事件。到目前为止,我主要看到这包括当月的事件,但有时这些事件也会追溯到几个月前。它会定期清空。

时间戳只是Cocoa(NSDate)类型,可以轻松转换回人类可读形式。

取证工具解析器

mac_apt - 已创建WIFI_INTELLIGENCE插件。

Velociraptor - 已创建并提交至Artifact exchange的取证组件。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次