Kořenový adresář většiny systémů Mac má skrytý adresář s názvem .fseventsd. Toto obsahuje soubor protokolu událostí systému souborů. Soubor protokolu se běžně používá při vyšetřování digitální forenzní analýzy, protože obsahuje seznam souborů, kterých se dotknete v konkrétních časech.
Chtěl bych vědět, proč Mac zapisuje tyto informace na disk a jak často protokol je vyčištěn.
- Proč se tento protokol vytváří?
Opravdu to nedává smysl. Je možné, aby se programy registrovaly a dostaly události co do činění se změnami v systému souborů. Proč je tedy zapisovat do trvalého protokolu v systému souborů?
- Jak často se čistí?
Jeden z mých počítačů Mac má běží od prosince 2018. Před měsícem měl události, které se vrátily až do dne, kdy jsem je koupil; nyní má události od 2. března ve 14:47 (píšu to 16. března).
Podíval jsem se online a mohu najít informace o tom, jak dekódovat formát souboru, ale já opravdu nemůžu najít nic o tom, proč tam je.
Informace o pozadí fsevents najdete na:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , článek a výzkum Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , bezplatný analyzátor
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike o tom, jak použijte jej v digitální forenzní oblasti.
Komentáře
- @ user3439894, jistě, aktualizoval jsem otázku tak, aby obsahovala odkazy.