El directorio raíz de la mayoría de los sistemas Mac tiene un directorio oculto llamado .fseventsd. Contiene un archivo de registro de eventos del sistema de archivos. El archivo de registro se usa comúnmente en investigaciones forenses digitales, porque contiene una lista de archivos tocados en momentos específicos.
Me gustaría saber por qué la Mac escribe esta información en el disco y con qué frecuencia el registro se limpia.
- ¿Por qué se está creando este registro?
Realmente, no tiene sentido. Es posible que los programas se registren para obtener eventos que tiene que ver con cambios en el sistema de archivos. Entonces, ¿por qué escribirlos en un registro persistente en el sistema de archivos?
- ¿Con qué frecuencia se limpia?
Una de mis Mac tiene ha estado funcionando desde diciembre de 2018. Hace un mes hubo eventos que se remontan al día en que lo compré; ahora tiene eventos que se remontan al 2 de marzo a las 14:47 (estoy escribiendo esto el 16 de marzo).
He buscado en línea y puedo encontrar información sobre cómo decodificar el formato de archivo, pero Realmente no puedo encontrar nada sobre por qué está allí.
Para obtener información sobre fsevents, consulte:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , artículo e investigación de Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , analizador gratuito
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike sobre cómo úselo en forense digital.
Comentarios
- @ user3439894, claro, actualicé la pregunta para incluir las referencias.