Apple’ın MacOS 26 Tahoe’nin sürümü yeni bir disk görüntü formatı tanıttı ve her ikisi de sistem test cihazlarından ve adli denetçilerden dikkat çeken eski bir disk formatı.
Apple Scarse Görüntü Biçimi (ASIF)
Apple Scarse görüntü biçimi (ASIF) tek dosyalı bir seyrek disk görüntüsüdür. Büyük bir nominal kapasite atanabilse de, veri yazıldıkça yalnızca ana bilgisayar hacminde yer tüketir.
ASIF kapsayıcıları, APFS, HFS+, FAT veya Exfat gibi macOS tarafından normal olarak desteklenen dosya sistemleri ile biçimlendirilebilir. Şifrelendiğinde, görüntü geçerli kimlik bilgileriyle açıklanana kadar opak veriler olarak görünür.
Test cihazları tarafından bildirilen kriterler, ASIF’in Apple Silikon üzerinde yüksek verim sağlayabileceğini, bazı durumlarda yerel SSD performansına yaklaşan, ancak iş yüküne, şifrelemeye ve donanıma bağlı olduğunu göstermektedir.
Uyumluluk açısından bakıldığında, çoğu MacO olmayan araç henüz biçimi tanımıyor ve bunu ham ikili veriler olarak sunacaktır, yani güvenilir analiz macOS veya özel destek gerektirir.
Seyrek paket görüntüsü (UDSB)
MacOS 26’da, Seyrek Paket Görüntüsü (UDSB) biçimi yenilenmiştir ve kullanıcılar disk görüntüleri oluştururken disk yardımcı programında sunulanı görmeye devam eder. Tek dosya ASIF’in aksine, seyrek bir paket, gerektiğinde genişleyen ve macOS içindeki kopyalama ve senkronizasyonu basitleştiren birden fazla küçük “bant” dosyası içeren bir dizindir.
Bu görüntüler ortak MacOS destekli dosya sistemleriyle biçimlendirilebilir. Bununla birlikte, bantlı yapıları genellikle üçüncü taraf adli araçları karıştırır ve dış demetteki modifikasyon zaman damgaları, monte edilen hacmin içindeki aktiviteye karşılık gelmeyebilir.
MacOS dışındaki seyrek paketler monte etmek zordur ve genellikle Apple’ın API’lerini gerektirir.
Adli Zorluklar
Araştırmacılar için en büyük sorun uyumluluktur. MacOS dışındaki birçok adli araç henüz ASIF’i tanımıyor ve bu görüntüleri ham ikili veriler olarak ele alacaktır. Seyrek demetler biraz daha iyi anlaşılmıştır, ancak bantlı yapıları hala incelemeyi karmaşıklaştırmaktadır.
ASIF görüntüleri oluşturmak şu anda MacOS 26 gerektiriyor ve Apple, önceki sürümlerle geriye doğru uyumlu olup olmayacağını belgelemedi.
Sanallaştırma platformları ve üçüncü taraf adli süitler de desteklerinde farklılık gösterir, bu da mevcut laboratuvar iş akışlarına entegrasyonu zorlaştırabilir. Bu makale şimdi doğrudur.