Macintosh Examinations with EnCase

Código DF420

Programa

• História da Apple e Mac
• Objectivo do curso, conteúdo e metedologia
• A necessidade de possuir um Mac de forma a examinar dados Mac
• Questões associadas com a preservação Forense de dados Macintosh em disco
• A extructura de dados Mac em disco e informações de baixo nível sobre o Apple Map e os sistemas de particionamento GUID Partition Table (GPT)
• O impacto da implementação da Apple do GPT em oposição à utilizada pelo MS Windows
• A extructura dos volumes HFS+
• A extructura do arquivo de catálogo
• O conceito de HFS+ ficheiros b-tree e como os nódulos b-tree no arquivo de catálogo são utilizados para indexar e guardar ficheiros HFS+ e pastas de registros
• Localizar e examinar a estructura do arquivo de catálogo e pastas de registros manualmente e usando os módulos EnScript
• A estructura dos arquivos de excesso.
• Análise de alguns aspectos fundamentais do Mac OS X que provavelmente irão fazer parte de qualquer exame Macintosh
• Análise de discos Macintosh e imagens de disco usando o próprio computador forense Mac do examinador
• Análise dos artefactos do sistema operativo do Mac OS X associados com o sistema como um todo ao invés de um usuário específico
• Revisão dos artefactos do sistema operativo específicos do usuário Mac OS X
• Exame dos artefactos de aplicação do Mac OS X
• Exame da aplicação Mac OS X relacionado com a Internet