Le répertoire racine de la plupart des systèmes Mac a un répertoire caché appelé .fseventsd. Il contient un fichier journal des événements du système de fichiers. Le fichier journal est couramment utilisé dans les enquêtes de criminalistique numérique, car il contient une liste de fichiers touchés à des moments particuliers.
Je voudrais savoir pourquoi le Mac écrit ces informations sur le disque et à quelle fréquence le journal est nettoyé.
- Pourquoi ce journal est-il créé?
Vraiment, cela na aucun sens. Il est possible pour les programmes de senregistrer pour obtenir des événements ayant à voir avec des changements dans le système de fichiers. Alors pourquoi les écrire dans un journal persistant du système de fichiers?
- À quelle fréquence est-il nettoyé?
Un de mes Mac a fonctionnait depuis décembre 2018. Il y a un mois, il y avait des événements qui remontaient au jour où je lai acheté; maintenant, il y a des événements remontant au 2 mars à 14h47 (je tape ceci le 16 mars).
Jai regardé en ligne et je peux trouver des informations sur la façon de décoder le format de fichier, mais je ne peut vraiment « rien trouver sur la raison pour laquelle il est là.
Pour en savoir plus sur fsevents, voir:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , article et recherche de Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , analyseur gratuit
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike explique comment utilisez-le dans la criminalistique numérique.
Commentaires
- @ user3439894, bien sûr, jai mis à jour la question pour inclure les références.