di Fabio Massa
Nel precedente numero: 1. Introduzione – 2. Tecniche di acquisizione ed analisi di un computer Macintosh – a) Avvio con CD DVD – b) Avvio Single User – c) Modalità Target Disk
In questo numero: 3. Machintosh file system – 4. La Radice UNIX – a) System tree – b) Local tree – c) User tree – d) Network tree – 5. Analisi Forense – a) Safari – b) Apple Mail – c) ichat – ) Keychains
3- Machintosh file system
La memorizzazione delle informazioni in OSX presenta diverse differenze rispetto ad altri ambienti come Windows o le varie distribuzioni UNIX-Like, nonostante OSX sia creato da fondamenta UNIX. La comprensione di tali caratteristiche è sostanziale per un corretto approccio al data recovery e all’analisi forense dei dispositivi Apple. Macintosh originariamente utilizzava il file system MFS (Macintosh File System) che conteneva le resource forks, ovvero una parte del file system per conservare i metadati. Supportava i nomi dei file con lunghezza di 255 caratteri mentre il finder ne supportava solo 31. Il Macintosh File System è stato sostituito nell’anno 1985 dall’HFS (Hierarchical File System) con la versione del Mac OS 3.0 e dall’estensione HFS+ (Hierarchical File System Plus, chiamato anche sequoia) con la versione Mac OS 8.1 nel 1998.
Il file system HFS+ (Hierarchical File System Plus) è stato creato da Apple per fornire un adeguato supporto software alle crescenti prestazioni, sia in termini di velocità che di capacità, dei nuovi hard disk. Un disco formattato con HFS+ è suddiviso in blocchi di 512 byte. In HFS+ esistono due tipologie di blocchi: i blocchi logici e i blocchi di allocazione. Mentre i primi sono statici e vengono numerati dal primo all’ultimo in base alla dimensione del disco, i blocchi di allocazione, costituiti da uno o più blocchi logici raggruppati, hanno una struttura dinamica che consente un uso più proficuo del file system.
Articoli pubblicati da Fabio Massa
