Análisis del formato de imagen dispersa ASIF de Apple

Fuentes: Dissecting Apple's Sparse Image Format (ASIF)

ASIF (Apple Sparse Image Format) es el nuevo formato de imagen de disco presentado por Apple con macOS 26 Tahoe en la WWDC 2025, diseñado principalmente para máquinas virtuales dentro del framework Virtualization. Funciona como un disco virtual disperso: el archivo ocupa menos espacio que el disco lógico que representa, a diferencia de una imagen completa. Su comportamiento es similar al de formatos ya conocidos como VMDK disperso, VHDX o QCOW2.

Este artículo detalla el proceso de ingeniería inversa llevado a cabo por el autor sobre el formato antes del lanzamiento de Tahoe. La metodología incluye la creación de un archivo de prueba con diskutil, el volcado del disco con datos patrón, la inspección de hexdumps para identificar la firma mágica y la endianness, y la definición tentativa de una estructura de cabecera con dissect.cstruct. El siguiente paso fue localizar el binario responsable —diskimagescontroller dentro de DiskImages2.framework— usando grep y strings, para después desensamblarlo en IDA y mapear los campos de la cabecera a partir de los mensajes de registro y los símbolos del binario.

El texto sirve como tutorial práctico para quienes se inician en la ingeniería inversa de formatos de archivo: combina notas de investigación sobre herramientas como YARA, técnicas de búsqueda de bytes mágicos y buenas prácticas de prueba. Está dirigido a desarrolladores, analistas forenses e investigadores de seguridad interesados en los formatos de disco de Apple. Como limitación, el artículo describe únicamente el trabajo previo al lanzamiento y deja abierta la documentación completa del cuerpo del archivo más allá de la cabecera.