Property list

Les fichiers plist (Property list) d’Apple

IMac

IMac

Je n’ai pas rédigé beaucoup d’articles dans la catégorie criminalistique de mon blog, et la lecture récente d’une petite publication très intéressante m’en donne l’occasion.

Dans son article, Dennis Browning du Champlain College (Burlington, VT), présente une approche intéressante des fichiers .plist du système MacOS X en pointant du doigt les similitudes avec l’analyse des bases de registres sous Windows.

Les “listes de propriétés” sont des fichiers de l’univers MacOS X, mais aussi NextStep et GNUStep, dont l’extension est “.plist” (fichier d’aide sur le site d’Apple) et qui sont utilisés le plus couramment pour stocker des données de configuration de l’utilisateur. Sous MacOS X, les fichiers plist ont adopté un format XML dont le fichier de description a été fixé par Apple, puis un format binaire, plus économe.

Apple fournit dans ses outils développement le “Property List Editor”. Il existe un utilitaire gratuit pour Windows permettant d’éditer ces fichiers plist. Attention, comme tout outil externe, il convient de le valider. Il est d’ailleurs recommandé – en général – de disposer d’un Mac pour analyser des machines sous MacOS…

L’auteur de l’article couvre plusieurs aspects de l’examen des fichiers .plist:

  • démarrages automatiques
  • éléments récents
  • configuration des réseaux sans fil
  • périphériques montés
  • iPods
  • historiques Internet (Safari, Firefox)
  • applications

Par exemple, Dennis Browning fait référence au fichier /user/Library/Preferences/com.apple.finder.plist qui contient des informations sur l’ensemble des périphériques et médias montés sur le système.

Pour ce qui est du Wifi, il est intéressant de regarder les fichiers /hd/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist et /hd/Library/Preferences/SystemConfiguration/com.apple.network.identification.plist . L’examen conjoint de ces deux fichiers permet de déterminer les réseaux auxquels l’utilisateur s’est connecté, la date de dernière connexion et la configuration.

On voit donc que c’est aussi riche que l’examen des bases de registres de Windows… Peut-être cela a-t-il l’inconvénient d’être éparpillé et manquons-nous encore d’outils pour les exploiter rapidement. A vos souris !