# Mac OS > **Um guia abrangente sobre o macOS** – desde sua arquitetura XNU e evolução histórica até sistemas de arquivos APFS, artefatos forenses, mecanismos de segurança e procedimentos de investigação. *** ## 📜 Histórico e Evolução do macOS O macOS é o sistema operacional da Apple para a linha de computadores Macintosh. Sua história pode ser dividida em três grandes eras. ### 1.1 A Era Clássica (1984-1999) **System Software (1.0 a 7.6) e Mac OS 8/9** * **Lançamento:** 1984 com o Macintosh original * **Características:** * 100% gráfico – sem linha de comando nativa * Sistema de arquivos hierárquico * **Arquitetura de arquivos com dois forks:** resource fork e data fork * **Multitarefa cooperativa** (não preemptiva) * Alta sensibilidade a conflitos de extensões (extensions) * **Última versão:** Mac OS 9.2.2 (2001) ### 1.2 A Revolução Mac OS X (2000-2012) **Mac OS X (10.0 a 10.7)** A Apple reconstruiu completamente o sistema operacional sobre bases Unix: * **Núcleo:** Darwin (XNU) – baseado no NeXTSTEP adquirido em 1997 * **Componentes:** BSD Unix + Mach microkernel + elementos do Mac OS clássico * **Arquitetura:** Aberta via Terminal, com suporte a linha de comando * **Versões notáveis:** * **10.0 Cheetah (2001):** Primeira versão pública * **10.2 Jaguar (2002):** Estabilização * **10.4 Tiger (2005):** Introdução do Spotlight e Dashboard * **10.5 Leopard (2007):** Time Machine, suporte a 64 bits * **10.6 Snow Leopard (2009):** Otimização, sem novos recursos * **10.7 Lion (2011):** Primeira versão apenas via Mac App Store ### 1.3 A Era macOS (2012-Presente) **OS X (10.8 a 10.11) e macOS (10.12+)** A partir de 2012, o sistema passou a ser nomeado "OS X" até a unificação com iOS: | Versão | Ano | Principais Novidades | | ---------------------- | ---- | ------------------------------------ | | **10.8 Mountain Lion** | 2012 | Integração com iCloud, Notificações | | **10.9 Mavericks** | 2013 | Tags Finder, iBooks | | **10.10 Yosemite** | 2014 | Design "flat", Continuity | | **10.11 El Capitan** | 2015 | Otimização de performance | | **10.12 Sierra** | 2016 | Siri, Apple Pay na web | | **10.13 High Sierra** | 2017 | **APFS (Apple File System)** | | **10.14 Mojave** | 2018 | Modo Escuro, apps da Apple no Mac | | **10.15 Catalina** | 2019 | Fim do suporte a apps 32-bit | | **11 Big Sur** | 2020 | Transição para Apple Silicon (M1) | | **12 Monterey** | 2021 | Universal Control, Shortcuts | | **13 Ventura** | 2022 | Stage Manager, Continuity Camera | | **14 Sonoma** | 2023 | Widgets na área de trabalho | | **15 Sequoia** | 2024 | iPhone Mirroring, Apple Intelligence | {% hint style="info" %} **Transição para Apple Silicon:** A partir do macOS 11 Big Sur, a Apple iniciou a transição de processadores Intel x64 para Apple Silicon (ARM64). A plataforma **Rosetta 2** permite executar aplicativos Intel em máquinas ARM. A partir de versões futuras (macOS Tahoe), o suporte a Intel será descontinuado. {% endhint %} *** ## 🏗️ Arquitetura do macOS ### 2.1 Núcleo XNU (X is Not Unix) O núcleo do macOS é o **XNU**, um kernel híbrido que combina: | Componente | Origem | Função | | ---------------------------------------- | -------------------------- | ----------------------------------------------------------------------------- | | **Mach microkernel** | Carnegie Mellon University | Gerenciamento de processos, memória, IPC (mensagens) | | **BSD (Berkeley Software Distribution)** | FreeBSD | Sistema de arquivos, rede, segurança (sockets, syscalls), usuários/permissões | | **I/O Kit** | Apple | Modelo de drivers orientado a objetos, gerenciamento de dispositivos | **Características do XNU:** * **Híbrido:** Combina a eficiência de um núcleo monolítico com a modularidade de um microkernel * **Open Source:** O código do kernel Darwin é disponibilizado pela Apple no GitHub () * **POSIX compliant:** Suporta padrões Unix, permitindo compilar software Unix/Linux no macOS ### 2.2 Camadas do Sistema ```mermaid graph TB subgraph "Aplicações e Interface" A[Apps .app] B[Dock, Finder, Menu Bar] end subgraph "Frameworks" C[Cocoa, SwiftUI] D[Core Services] E[Core Graphics, Core Audio] end subgraph "Camada Darwin (Unix)" F[Kernel XNU] G[BSD syscalls] H[I/O Kit] end subgraph "Hardware" I[Intel x64 / Apple Silicon] J[Secure Enclave] K[TPM (T2/Apple Silicon)] end A --> C & D & E C & D & E --> F & G & H F & G & H --> I & J & K ``` ### 2.3 Diferenças entre Intel x64 e Apple Silicon (ARM) | Aspecto | Intel x64 | Apple Silicon (M1/M2/M3/M4) | | ----------------- | ------------------------------- | ---------------------------------------- | | **Arquitetura** | x86-64 (CISC) | ARM64 (RISC) | | **Boot** | EFI com Intel Management Engine | iBoot com Secure Boot integrado | | **Recovery Mode** | Command+R (via EFI) | Pressionar e segurar botão liga/desliga | | **Criptografia** | Opcional com T2 ou software | Obrigatória, integrada ao Secure Enclave | | **SIP padrão** | Habilitado (desabilitável) | Habilitado, com restrições mais rígidas | | **Rosetta** | Não necessário | Emula x64 em ARM | | **Kernel** | XNU x64 | XNU ARM64 | *** ## 💾 Sistema de Arquivos APFS O **APFS (Apple File System)** foi introduzido no macOS 10.13 High Sierra como substituto do HFS+ (Mac OS Extended). É otimizado para flash storage e criptografia. ### 3.1 Visão Geral e Arquitetura de Containers **Conceito fundamental:** O APFS utiliza uma arquitetura de **container único** que hospeda múltiplos volumes compartilhando o mesmo espaço de armazenamento. ```mermaid graph LR subgraph "Container APFS" C1[Volume: Macintosh HD
- Sistema (SSV)] C2[Volume: Macintosh HD - Data
- Dados do usuário] C3[Volume: Preboot] C4[Volume: Recovery] C5[Volume: VM] end subgraph "Disco Físico /dev/rdisk0" D[Partição EFI
+
Container APFS] end C1 & C2 & C3 & C4 & C5 --> D ``` **Por que isso é crítico para forense?** * **Não é possível adquirir volumes APFS individualmente** – eles não contêm metadados suficientes para funcionar de forma independente (object maps, checkpoints, allocation tables). * **A aquisição forense válida requer a imagem completa do container/disco físico.** ### 3.2 Volumes, Snapshots e Clones | Conceito | Descrição | Implicação Forense | | ------------- | ------------------------------------------------------ | --------------------------------------------------- | | **Container** | Espaço de armazenamento que contém um ou mais volumes | É a unidade mínima para aquisição forense | | **Volume** | Instância de sistema de arquivos dentro do container | Não pode ser imageada isoladamente | | **Snapshot** | Cópia point-in-time de um volume (leitura) | Pode conter dados apagados; usado pelo Time Machine | | **Clone** | Cópia eficiente (copy-on-write) de arquivos/diretórios | Não ocupa espaço duplicado em disco | ### 3.3 Estrutura do APFS na Prática **Comandos úteis para análise:** ```bash # Listar containers e volumes diskutil list # Visualizar estrutura APFS detalhada diskutil apfs list # Montar um snapshot (forense) diskutil apfs mountSnapshot /Volumes/Macintosh\ HD -snapshot "com.apple.TimeMachine.2025-03-27-120000" # Verificar integridade do container fsck_apfs /dev/disk0s2 ``` ### 3.4 HFS+ (Mac OS Extended) – O Antecessor O HFS+ (Hierarchical File System Plus) foi o sistema de arquivos padrão até o macOS 10.12 Sierra. | Característica | HFS+ | APFS | | ---------------------------- | -------------------------- | ------------------ | | **Tamanho máximo de volume** | 8 EB | 8 EB (teórico) | | **Snapshots** | Não | Sim | | **Checksum de dados** | Não | Sim | | **Criptografia** | FileVault 2 (volume único) | Nativa, por volume | | **Espaço compartilhado** | Não | Sim | | **Clonagem eficiente** | Não | Sim | *** ## 🛡️ Mecanismos de Segurança do macOS O macOS possui uma arquitetura de segurança em camadas que se tornou significativamente mais robusta com a transição para Apple Silicon. ### 4.1 System Integrity Protection (SIP) O SIP (System Integrity Protection) restringe o acesso de processos, mesmo com privilégios root, a partes críticas do sistema. **O que o SIP protege:** * `/System`, `/bin`, `/sbin`, `/usr` (exceto `/usr/local`) * Arquivos e diretórios protegidos pelo sistema * Processos do kernel e drivers assinados **Verificar status do SIP:** ```bash csrutil status ``` **Desabilitar SIP (necessário para aquisição forense):** ```bash # Boot em Recovery Mode # Intel: Command+R durante boot # Apple Silicon: Pressionar e segurar botão liga/desliga # No Terminal: csrutil disable ``` {% hint style="warning" %} **IMPORTANTE:** A aquisição forense de um Mac em execução normal **não é possível** com SIP habilitado. É necessário desabilitar SIP via Recovery Mode. {% endhint %} ### 4.2 Gatekeeper e Notarização O Gatekeeper controla quais aplicativos podem ser executados no sistema. | Fonte do Aplicativo | Comportamento Padrão | | --------------------------------- | ------------------------------------- | | **Mac App Store** | Sem restrições adicionais | | **Desenvolvedores identificados** | Verificação de notarização pela Apple | | **Fonte não identificada** | Bloqueado (com override possível) | **Processo de Notarização:** 1. Desenvolvedor envia app para Apple 2. Apple verifica malware e assina digitalmente 3. Gatekeeper no Mac verifica o ticket de notarização 4. Se o ticket for revogado (após descoberta de malware), o app é bloqueado ### 4.3 XProtect e Malware Removal Tool (MRT) O **XProtect** é o sistema de detecção de malware baseado em assinaturas do macOS: * Verifica arquivos quando: * Um aplicativo é aberto pela primeira vez * As assinaturas são atualizadas * O aplicativo é atualizado * Baseado em assinaturas (YARA rules) baixadas automaticamente pela Apple **Localização das assinaturas XProtect:** ``` /System/Library/CoreServices/XProtect.bundle/Contents/Resources/ ``` O **Malware Removal Tool (MRT)** é executado periodicamente (normalmente após atualizações de segurança) para remover malware conhecido. ### 4.4 Secure Enclave e Criptografia de Hardware O **Secure Enclave** é um coprocessador integrado ao chip (T2 em Intel Macs, ou diretamente no Apple Silicon) que: * Armazena chaves criptográficas isoladas do sistema operacional * Gerencia autenticação biométrica (Touch ID) * Realiza operações criptográficas * Impede acesso não autorizado a dados criptografados **Implicação forense:** Em Apple Silicon Macs, **a senha do usuário é obrigatória** para descriptografar dados – não existem "backdoors" ou bypass. ### 4.5 FileVault 2 O FileVault 2 oferece criptografia full-disk usando XTS-AES-128. **Comportamento:** * Em Macs com Secure Enclave, a criptografia é **habilitada por padrão** (mesmo sem FileVault ativo) * O FileVault adiciona uma camada de autenticação: a senha de login é necessária para descriptografar o volume de dados **Verificar status:** ```bash fdesetup status ``` ### 4.6 Signed System Volume (SSV) A partir do macOS 10.15 Catalina, o volume do sistema (Macintosh HD) é montado como **read-only** e sua integridade é verificada por assinatura criptográfica no boot. **Benefícios:** * Impede modificações no sistema operacional por malware * Permite verificar se o sistema foi adulterado * Separa claramente dados do usuário (volume Data) do sistema ### 4.7 Transparency, Consent, and Control (TCC) O TCC (Transparency, Consent, and Control) é o sistema de permissões do macOS que controla acesso a dados sensíveis. **Recursos protegidos:** * Localização * Câmera * Microfone * Contatos * Calendário * Fotos * Acessibilidade * Tela (screen recording) **Localização do banco de dados TCC:** ``` /Users/[username]/Library/Application Support/com.apple.TCC/TCC.db /Library/Application Support/com.apple.TCC/TCC.db ``` *** ## 👥 Gerenciamento de Contas de Usuário ### 5.1 Tipos de Contas | Tipo | SID (UID) Padrão | Privilégios | Aplicação | | ------------------------------- | -------------------- | ------------------------------------- | ------------------------ | | **Administrator** | 501 (primeira conta) | Controle total do sistema | Administração | | **Standard** | 502+ | Apenas configurações pessoais | Usuários comuns | | **Managed (Parental Controls)** | 502+ | Restrições via Screen Time | Crianças | | **Sharing Only** | - | Apenas acesso a pastas compartilhadas | Acesso remoto controlado | | **Guest** | - | Temporário, dados não persistem | Acesso público | ### 5.2 Estrutura de Diretórios de Usuário Cada usuário possui um diretório home em `/Users/[username]`: ``` /Users/[username]/ ├── Applications/ # Apps instalados apenas para este usuário ├── Desktop/ # Arquivos na área de trabalho ├── Documents/ # Documentos do usuário ├── Downloads/ # Arquivos baixados ├── Library/ # Dados de aplicativos (PLISTs, SQLite, cache) │ ├── Application Support/ │ ├── Caches/ │ ├── Preferences/ │ ├── Containers/ # Dados de apps sandbox (App Store) │ └── Safari/ # Histórico, cookies, etc. ├── Movies/ ├── Music/ ├── Pictures/ ├── Public/ # Pasta compartilhada (Drop Box) └── .Trash/ # Lixeira do usuário (oculta) ``` ### 5.3 Contas Gerenciadas (Mobile Accounts) Em ambientes empresariais com Active Directory ou MDM, contas podem ser **mobile accounts**: * Armazenadas no servidor de diretório * Cache local para acesso offline * Configurações de permissão via MDM *** ## 🔍 Artefatos Forenses do macOS ### 6.1 Arquivos de Configuração (PLISTs) **PLISTs (Property Lists)** são arquivos de configuração em formato XML ou binário. **Localizações principais:** ``` /Users/[username]/Library/Preferences/ # Preferências do usuário /Library/Preferences/ # Preferências do sistema /System/Library/Preferences/ # Preferências do sistema (protegidas) ``` **Artefatos de interesse:** | PLIST | Informação | | -------------------------------- | ----------------------------------------- | | `com.apple.LaunchServices.plist` | Aplicativos abertos recentemente | | `com.apple.recentitems.plist` | Itens recentes | | `com.apple.finder.plist` | Configurações do Finder, pastas acessadas | | `com.apple.safari.plist` | Configurações do Safari | | `com.apple.loginwindow.plist` | Últimos logins, reinicializações | **Ferramentas para leitura:** ```bash plutil -p file.plist # Exibe formato legível plutil -convert xml1 file.plist # Converte binário para XML ``` ### 6.2 Bancos de Dados SQLite Muitos artefatos do macOS são armazenados em SQLite. | Artefato | Localização | Informação | | -------------------- | --------------------------------------------------------------- | -------------------------------------------------- | | **KnowledgeC.db** | `/Users/[user]/Library/CoreDuet/Knowledge/` | Atividade do usuário (apps abertos, tempo em apps) | | **Calls** | `/Users/[user]/Library/Application Support/CallHistoryDB/` | Histórico de chamadas FaceTime | | **Messages** | `/Users/[user]/Library/Messages/chat.db` | Mensagens do iMessage | | **Safari History** | `/Users/[user]/Library/Safari/History.db` | Histórico de navegação | | **Safari Downloads** | `/Users/[user]/Library/Safari/Downloads.plist` | Downloads realizados | | **Notes** | `/Users/[user]/Library/Group Containers/group.com.apple.notes/` | Anotações | | **Spotlight** | `/Users/[user]/Library/Metadata/CoreSpotlight/` | Índice de busca | | **TCC** | `/Library/Application Support/com.apple.TCC/TCC.db` | Permissões de aplicativos | ### 6.3 Logs do Sistema (Unified Logging) A partir do macOS 10.12 Sierra, a Apple introduziu o **Unified Logging**, substituindo os logs de texto tradicionais (`.log`) por um formato estruturado e compactado. **Localização:** `/var/db/diagnostics/` (persistent) e `/private/var/log/` (rotativo) **Ferramenta de análise:** ```bash log show --predicate 'eventMessage contains "error"' --start "2025-03-27" log collect --output /path/to/logarchive.logarchive ``` **Eventos de interesse forense:** * Autenticações (successo e falha) * Montagem de dispositivos externos * Atividade de rede * Processos iniciados ### 6.4 Artefatos de Atividade do Usuário | Artefato | Localização | Informação | | -------------------- | ------------------------------------------------------------- | -------------------------------------- | | **Recent Items** | `com.apple.recentitems.plist` | Documentos e apps abertos recentemente | | **QuickLook** | `/Users/[user]/Library/Preferences/com.apple.quicklook.plist` | Pré-visualizações de arquivos | | **Login Window** | `com.apple.loginwindow.plist` | Últimos usuários logados | | **Power Management** | `com.apple.powermanagement.plist` | Inicializações e desligamentos | ### 6.5 Artefatos de Execução e Persistência O macOS possui múltiplos mecanismos para iniciar processos automaticamente: | Mecanismo | Localização | Descrição | | -------------------- | ------------------------------------------------------------------------------------ | ------------------------- | | **LaunchAgents** | `/Users/[user]/Library/LaunchAgents/` | Agentes por usuário (GUI) | | **LaunchDaemons** | `/Library/LaunchDaemons/` | Daemons de sistema (root) | | **Startup Items** | `/Library/StartupItems/` | Legado, ainda funcional | | **Login Items** | `/Users/[user]/Library/Application Support/com.apple.backgroundtaskmanagementagent/` | Apps que iniciam no login | | **Cron Jobs** | `/etc/crontab`, `/var/at/tabs/` | Tarefas agendadas | | **Periodic Scripts** | `/etc/periodic/` | Tarefas periódicas | ### 6.6 Artefatos de Rede e Conexões | Artefato | Localização | Informação | | ---------------------- | ------------------------------------------------------------------------------ | ----------------------- | | **DNS Cache** | `/var/run/dns-sd.db` | Resoluções DNS recentes | | **Wi-Fi Networks** | `/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist` | Redes Wi-Fi conhecidas | | **Network Interfaces** | `/Library/Preferences/SystemConfiguration/NetworkInterfaces.plist` | Configurações de rede | | **Firewall Logs** | `/var/log/appfirewall.log` | Bloqueios de firewall | | **pf Logs** | `/var/log/pf.log` | Pacotes filtrados (pf) | ### 6.7 Artefatos de Armazenamento Externo O macOS mantém registro de dispositivos externos conectados: ```bash # Dispositivos USB conectados (histórico) ioreg -p IOUSB -l -w 0 # Volumes montados (histórico em logs) log show --predicate 'subsystem == "com.apple.diskmanagement"' # Tempo de montagem de volumes (recentes) ls -la /Volumes/ ``` *** ## 📀 Aquisição Forense em macOS ### 7.1 Desafios Específicos do APFS e Apple Silicon | Desafio | Descrição | | --------------------------- | ----------------------------------------------------------------------------------------- | | **APFS container** | Não é possível imagear volumes individualmente; é necessário imagear o container completo | | **Criptografia automática** | Mesmo sem FileVault, dados são criptografados no hardware (Apple Silicon) | | **SIP restrição** | Imagens não podem ser feitas com SIP habilitado | | **Sistema assinado** | Modificações no sistema podem quebrar assinatura (SSV) | | **Senha obrigatória** | Sem a senha do usuário, o volume de dados não pode ser descriptografado | ### 7.2 Requisitos: SIP e Senha do Usuário **Para aquisição forense completa de um Apple Silicon Mac, são necessários:** 1. **Senha do usuário** – para descriptografar o volume de dados 2. **SIP desabilitado** – para permitir acesso ao container físico 3. **Acesso físico ou Recovery Mode** – para boot em ambiente forense {% hint style="warning" %} **IMPORTANTE:** Sem a senha do usuário, a aquisição forense de um Apple Silicon Mac **é impossível** – a criptografia integrada ao Secure Enclave não possui backdoor ou bypass. {% endhint %} ### 7.3 Métodos de Aquisição #### 7.3.1 Bootable Forensic Environment **Método recomendado** para aquisição forense completa. **Processo:** 1. Desabilitar SIP via Recovery Mode 2. Bootar em ambiente forense MacOS (ex: SUMURI RECON ITR) 3. Autenticar com senha do usuário administrativo 4. Selecionar tipo de aquisição: * **Container Disk:** Imagem completa do container APFS (inclui System, Data, Preboot, Recovery) * **Data Volume:** Apenas volume de dados do usuário (mais rápido, mas perde metadados do sistema) **Vantagens:** * Preserva todos os metadados APFS * Acessa dados apagados e snapshots * Sem alteração do sistema original #### 7.3.2 Live Imaging **Imagem enquanto o sistema está em execução**. **Processo:** 1. Usuário já logado (senha conhecida) 2. Executar ferramentas forenses com privilégios elevados 3. Extrair volume de dados em execução **Limitações:** * Acesso apenas ao volume do usuário logado * Risco de alteração de timestamps * Pode não acessar dados apagados #### 7.3.3 Share Disk Mode **Compartilhamento de disco via rede (não recomendado)**. **Processo:** 1. Boot em Recovery Mode 2. Ativar compartilhamento de disco 3. Conectar de outro Mac via rede (SMB) **Desvantagens:** * Extremamente lento * Instável para grandes volumes * Não preserva metadados corretamente ### 7.4 Formatos de Imagem e Preservação de Metadados | Formato | Compatibilidade | Preserva Metadados Apple | Recomendado | | --------------------------- | ----------------- | ------------------------------- | ----------------- | | **DMG (Apple Disk Image)** | Nativo macOS | ✅ Sim | ✅ **Recomendado** | | **RAW (dd)** | Universal | ⚠️ Parcial (depende do uso) | ⚠️ Com cautela | | **E01 (EnCase)** | Forense comercial | ❌ Não (perde extended metadata) | ❌ Não | | **ExFAT/NTFS (para cópia)** | Universal | ❌ Não (remove atributos) | ❌ Não | **Por que os formatos tradicionais falham?** O APFS e o HFS+ armazenam **extended metadata** (atributos estendidos) que não são preservados quando copiados para sistemas de arquivos não-Apple. Exemplos: * **Last Used Date:** Data real de último uso pelo usuário (diferente do atime Unix) * **Quarantine Flags:** Indica origem do download (URL, data, processo) * **Finder Tags:** Tags coloridas e organizacionais * **File Flags:** Imutável, append-only, etc. ### 7.5 Workflow Recomendado ```mermaid graph LR A[Preparação Legal] --> B[Boot Recovery Mode] B --> C[Desabilitar SIP] C --> D[Boot Forensic Environment] D --> E[Autenticar com senha] E --> F{Selecionar tipo} F -->|Full Container| G[Imagem completa APFS] F -->|Data Only| H[Imagem volume de dados] G & H --> I[Calcular hashes] I --> J[Analisar em ferramenta compatível] ``` *** ## 🦠 Análise de Malware no macOS ### 8.1 Principais Ameaças Embora menos visado que Windows, o macOS tem sido alvo crescente de malware. | Tipo | Exemplo | Descrição | | --------------- | ------------------ | ----------------------------------------- | | **Trojan** | BeaverTail | Ataques de engenharia social via LinkedIn | | **Adware** | Pirrit, Adload | Pop-ups e redirecionamentos | | **InfoStealer** | Atomic (Stealer) | Roubo de credenciais, carteiras cripto | | **Ransomware** | EvilQuest, LockBit | Criptografa arquivos, extorsão | | **Backdoor** | Calisto, Mokes | Acesso remoto não autorizado | | **Rootkit** | OSX/ThiefQuest | Ocultação de atividades maliciosas | **Estatísticas:** Em 2022, AV-TEST registrou mais de 62 milhões de amostras de malware Windows, contra menos de 100.000 amostras macOS. ### 8.2 Metodologia de Análise **Análise Estática:** ```bash # Strings e identificação file malware.bin strings malware.bin | head -20 shasum -a 256 malware.bin # Verificar assinatura de código codesign -dvvv malware.app # Verificar notarização spctl -a -vvv malware.app # Inspecionar binário otool -L malware.bin # Bibliotecas carregadas nm -gU malware.bin # Símbolos exportados ``` **Análise Dinâmica:** ```bash # Monitorar processos ps aux | grep -i malware lsof -p [PID] # Monitorar atividade de rede tcpdump -i any -w capture.pcap # Monitorar chamadas de sistema sudo dtruss -p [PID] # Requer System Integrity Protection desabilitado sudo fs_usage -f filesys # Atividade de arquivos ``` **Sandbox:** Ferramentas como **Malwarebytes**, **Objective-See** (BlockBlock, KnockKnock, RansomWhere) são amplamente utilizadas para análise em macOS. ### 8.3 Ferramentas de Análise | Ferramenta | Descrição | | ----------------------- | --------------------------------------------------- | | **Hopper Disassembler** | Disassembler e decompilador para macOS | | **Ghidra** | NSA open-source reverse engineering | | **Objective-See Suite** | Ferramentas gratuitas para análise de malware macOS | | **VirusTotal** | Upload para múltiplas engines antivírus | | **Suspicious Package** | Inspeção de instaladores .pkg | | **mac4n6 Artifacts** | Repositório de artefatos forenses | *** ## 📚 Referências e Ferramentas ### Documentação Oficial Apple * [Apple Platform Security](https://support.apple.com/guide/security/welcome/web) * [Apple File System (APFS) Overview](https://developer.apple.com/documentation/foundation/file_system) * [System Integrity Protection Guide](https://support.apple.com/guide/security/sec8b776536b/web) ### Forense Digital em macOS * **mac4n6 Artifacts (SANS)** – Repositório de artefatos forenses * **SUMURI RECON ITR** – Ambiente forense bootável para Apple Silicon * **BlackLight** – Ferramenta comercial de análise forense macOS * **Binalyze AIR** – Aquisição e análise de APFS ### Análise de Malware * **Objective-See** – (ferramentas gratuitas) * **Malwarebytes for Mac** – * **VirusTotal** – ### Comunidade e Treinamento * **SANS FOR518: Mac and iOS Forensic Analysis** * **DFRWS Workshops** – * **mac4n6 Slack Community** – Comunidade ativa de pesquisa forense --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xmorte.gitbook.io/bibliadopentestbr/conceitos/ambientes/mac-os.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.