TRACIP obtient le label Expert Cyber

Macquisition™

MacQuisition™ est une solution d’imagerie médico-légale Macintosh complète et de premier plan dans le secteur. Testée et utilisée par des experts en médecine légale Mac depuis plus de 10 ans, MacQuisition™ fournit des images de plus de 185 modèles différents d’ordinateurs Macintosh. Évitez les prises de vue compliquées et longues. MacQuisition™ fonctionne sur le système d’exploitation Mac OS X. Démarrez en toute sécurité et faites des images de Mac Pro, MacBook et MacBook Air dans leur propre environnement Mac OS X natif.

Fonctionnalités

Formatage et imagerie sur disques NTFS

Blackbag est désormais titulaire de la licence Paragon, et utilise désormais Paragon NTFS pour les pilotes Mac dans MacQuisition 2018 R1 insique pour les versions futures).

Déverrouillage de l’APFS avec le chiffrement FileVault 2

Les examinateurs rencontrent de plus en plus d’ordinateurs Mac Apple File System formatés, chiffrés avec FileVault 2. MacQuisition 2018 R1 détecte FileVault 2 et, après qu’un examinateur ait entré le mot de passe, la clé de récupération ou le porte-clés de récupération dans le menu “Outils”, MacQuisition déverrouillera le disque APFS et dévoilera les données déchiffrées. Par la suite, l’examinateur est en mesure d’effectuer une collecte de données à partir du volume déverrouillé vers un dossier ou une image fragmentée.

Capture de RAM et acquisition de données live sur High Sierra 10.13

Malgré l’augmentation de la protection SIP (System Integrity Protection) de High Sierra, qui limite l’accès à une application pendant le fonctionnement du Mac, la capture de RAM et la récupération de données sont désormais possibles en live. Les catégories présélectionnées de collecte de données sont également améliorées pour mieux supporter les fichiers sur High Sierra.

Création de conteneurs de données logiques pour l’acquisition de données

Avec MacQuisition 2018R1, les enquêteurs sont désormais capables de procéder à des collectes de données ciblées, et de les envoyer sur un conteneur logique. Ces données sont stockées sur une image disque fragmentée d’un lecteur HFS+, APFS, NTFS or ExFAT. Ce conteneur logique peut ensuite être traité par BlackLight, logiciel d’analyse forensique.