Rodmappen på de fleste Mac-systemer har en skjult mappe kaldet .fseventsd. Dette indeholder en logfil med filsystemhændelser. Logfilen bruges ofte i digitale retsmedicinske undersøgelser, fordi den indeholder en liste over filer, der er berørt inden for bestemte tidspunkter.
Jeg vil gerne vide, hvorfor Macen skriver denne information til disken, og hvor ofte log renses.
- Hvorfor oprettes denne log?
Virkelig giver det ingen mening. Det er muligt for programmer at registrere sig for at få begivenheder har at gøre med ændringer i filsystemet. Så hvorfor skrive dem til en vedvarende log i filsystemet?
- Hvor ofte renses det?
En af mine Macer har har kørt siden december 2018. For en måned siden havde begivenhederne helt tilbage til den dag, jeg købte den; nu har begivenheder tilbage til 2. marts kl. 14:47 (jeg skriver dette den 16. marts.)
Jeg har kigget online og kan finde oplysninger om, hvordan man afkoder filformatet, men jeg kan virkelig ikke finde noget om, hvorfor det er der.
For baggrund om fsevents, se:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , artikel og forskning af Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , Gratis parser
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike om, hvordan man brug det i digital retsmedicin.
Kommentarer
- @ user3439894, helt sikkert, jeg opdaterede spørgsmålet for at inkludere referencer.