Kimberly Hombach-Neuÿer

• Diese Arbeit befasst sich mit der forensischen Untersuchung von Systemen mit dem Trusted Plattform Module (TPM) von Apple, dem T2 Chip. Mittelpunkt ist die physische Datensicherung über das Forensik Analysewerkzeug MacQuisition von BlackBag Technologies. Die Sicherheitsrichtlinien von den Apple Geräten mit verbautem TPM verhindern solche Sicherungen und schützen die Daten auf dem System. MacQuisition ist die erste Lösung für die Forensik, um dennoch ein physisches und gleichzeitig entschlüsseltes Abbild zu erzeugen. Dafür schafft es MacQuisition auf den Direct Memory Access (DMA) fähigen Enhanced Serial Peripheral Interface (eSPI) Bus zu gelangen und die Sicherheitsvorkehrungen zu umgehen.
• This paper is determined to examine the forensic investigation of systems which have the T2 chip TPM by Apple. It's focused on creating physical images using the imagingtool MacQuisition by BlackBag Technologies. The security policy of Apple products with TPM is designed to prevent physical images and secure data. To forensic science MacQuisition is the first solution to nevertheless create such physical and encrypted images. Therefore it manages to attain the DMA capable eSPI Bus to avoid safety precautions.