Fuji 1.2.0 permette l’acquisizione forense dei Mac anche in recovery mode

Pubblicato daLazzaPubblicato in: Digital forensicsTag:, , , , ,
Illustrazione che mostra l'icona di una Fuji Cartridge a forma di cartuccia di videogioco, con l'etichetta che raffigura il logo di Fuji, cioè l'omonimo monte al tramonto con il sole che è anche una succosa mela. Lo sfondo scuro mostra in leggera sovraimpressione la scritta "FUJI" a caratteri cubitali.

L’inizio del 2026 è stato un periodo di forte sviluppo per Fuji, il mio programma open-source per l’acquisizione forense di macOS.

Dopo alcuni mesi di poca attività, ho ricominciato un intenso lavoro per includere nuove funzioni, correzioni di bug e miglioramenti generali. Sono davvero soddisfatto del risultato ottenuto e i vari commenti ricevuti, anche da esponenti delle forze dell’ordine di diversi paesi, sembrano condividere l’entusiasmo.

La novità più interessante della nuova versione di Fuji è la possibilità di avviare il programma tramite la recovery mode, e questo funziona sia con i Mac di tipo Intel che Apple Silicon.

Qualora il dispositivo non abbia la funzionalità FileVault attiva, ciò rende possibile effettuare la copia forense del Mac senza conoscere la password dell’utilizzatore.

Viene introdotto il concetto di Fuji Cartridge, cioè un dispositivo USB che si può usare per far partire Fuji in questa modalità. Una caratteristica innovativa è che il dispositivo può essere disconnesso non appena il programma è partito, in quanto Fuji si auto-replica in un RAM disk e rende di nuovo disponibile la porta USB.

L’analista forense può creare una Fuji Cartridge con qualunque computer, indipendentemente dal sistema operativo utilizzato, anche riciclando una vecchia chiavetta di scarsa capacità. La metafora della cartuccia è piaciuta a molti e ha ispirato qualche idea piuttosto originale.

L’esperto di analisi forense Derek Eiri ha pubblicato le foto di un dispositivo USB artigianalmente inserito nel guscio di una vera cartuccia. Il risultato è ragguardevole!

Fuji Cartridge realizzata da Derek Eiri

Fuji 1.2.0 include anche altre migliorie:

  • Nuovo metodo di acquisizione Ditto, necessario in recovery mode dove Rsync non si può utilizzare
  • Pulizia dei file temporanei, a volte fonte di confusione
  • Selezione automatica del volume dati, dove risiedono tutti i file dell’utente
  • Raccolta degli Unified Logs molto più completa di prima
  • Produzione di un file ZIP per l’acquisizione con metodo Sysdiagnose e conversione dei dati in JSONL invece di SQLite
  • Nuovo formato del DMG di Fuji, masterizzabile con balenaEtcher

Infine, con l’occasione è stato pubblicato un nuovo sito web dedicato alla documentazione del programma. Qui sotto riporto i link del progetto:

Note di rilascio
Documentazione
Donazioni

Fuji sta riscuotendo un discreto successo sia tra i consulenti tecnici che tra le forze dell’ordine e mi piacerebbe che tutti potessero provarlo. Se trovate interessante il progetto, vi esorto a diffonderlo tra i vostri colleghi. 😉

Condividi:

Share on Mastodon Share on LinkedIn Share on Telegram Share on WhatsApp Share on Pocket

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Puoi formattare il testo con la sintassi Markdown.