当前位置: 主页 > 关于效率源 > 行业洞察 > 热点技术

【技术视界】 Mac日志文件结构与提取分析

2017-04-06 13:54


      编者按:在PC端的电子数据取证过程中,针对Mac电脑日志进行分析提取是一项重要内容。由于Mac日志文件在window系统上并不能直接识别,因此需要对其结构进行解析。本期,数据恢复四川省重点实验室科研人员将介绍Mac日志文件的结构,以及如何利用效率源DF电子数据分析系统对其进行分析提取。


一、什么是Mac日志文件

      Mac日志文件是记录电脑系统应用程序和服务活动的文件,其后缀名为.asl,全名为Apple System Log。通过研究发现,Mac日志文件按天存储,主要分为系统日志、安装器日志、无线连接日志、VPN连接日志、内核日志、诊断日志和电源管理日志7大类别,存储格式均为asl。由于Mac日志数据存储方式为二进制,在Window系统上并不能直接识别该文件,因此需要对其中的asl日志文件结构进行解析。


二、Mac日志文件结构

      1.日志头部

      Mac日志文件存储结构均为asl。研究发现,asl文件由文件头部+日志记录组成,文件头部长度为80字节的固定长度,其结构如图1。

图片1_副本.png

图1

      日志头部文件记录了首条日志记录在文件中存储的位置,每条记录会记载下一条日志记录的偏移量。每条日志记录长度为非固定长度,其结构如图2。

图片2_副本.png

图2

      2.日志等级

     Mac日志文件等级按照0-7分为8个等级,每个数字代表不同的含义,如图3。

图片3_副本.png

图3

      3.ASL STRING字符串格式

      ASL String是一种特殊的字符串存储格式:

      当存储的字符串<=7字节,就将首字节首位设为1,剩余7个字节存储字符串数据,字符串长度不足7字节用0x00填充;

      当存储的字符串>7字节,就将首字节首位设为0,以整个8个字节作为真实数据的偏移量,指向存储的字符串。

      字符串数据长度<=7字节示例:

图片4_副本.png

图4

      首字节0x86的二进制表示为:10000110,首位是1,即后面7个字节代表存储的字符串数据,编码方式为UTF-8,解析出结果为“powerd”,如图4所示。

      字符串数据长度>7字节示例:

图片5_副本.png

图5

      首字节的二进制表示为:0000 0000,即整个8个字节代表字符串在整个日志文件的偏移量,利用winhex工具跳转到对应数据,如图6所示。

图片6_副本.png

图6

       该字符串长度为0x0B,编码方式为UTF-8,解析出结果为HogandeMBP,如图7。

图片7_副本.png

图7

备注:

      时间均为unix时间戳(UTC),以1970-01-01 00:00:00作为基准时间;字节存储顺序为大端存储。


三、利用DF解析Mac日志数据

      1.运行效率源DF电子数据分析系统,添加Mac镜像文件并加载Mac日志文件,如图8。

图片8_副本.png

图8

      2.点击自动取证,选择Mac系统日志并开始提取,如图9。

图片9_副本.png

图9

      3.查看日志解析结果,如图10。

图片10_副本.png

图10


四、结语

      本期,数据恢复四川省重点室科研人员介绍了Mac日志文件的结构,以及如何利用源DF电子数据分析系统对其进行分析提取。DF电子数据分析系统作为一款专门针对电子数据进行分析的专业设备,具有快速取证、数据提取、痕迹提取、数据分析、分析报告等功能,在电子数据取证过程中发挥了重要作用。