A legtöbb Mac rendszer gyökérkönyvtárában van egy rejtett könyvtár, amelynek neve: .fseventsd. Ez a fájlrendszer eseményeinek naplófájlját tárolja. A naplófájlt gyakran használják a digitális kriminalisztikai vizsgálatok során, mert egy bizonyos időn belül megérintett fájlok listáját tartalmazza.
Szeretném tudni, miért írja a Mac a lemezre ezeket az információkat, és milyen gyakran a napló megtisztul.
- Miért jön létre ez a napló?
Valójában nincs értelme. Lehetséges, hogy a programok regisztrálva eseményeket kapnak a fájlrendszer változásaihoz kapcsolódik. Miért érdemes ezeket a fájlrendszer állandó naplójába írni?
- Milyen gyakran tisztítják?
Az egyik Mac-m 2018. decembere óta működik. Egy hónappal ezelőtt egészen a vásárlás napjáig tartottak az események; most március 2-án 14: 47-re visszanyúló eseményei vannak (ezt március 16-án gépelem be.)
Online voltam, és információkat találok a fájlformátum dekódolásáról, de valójában nem talál semmit arról, hogy miért van.
Az fsevents hátterét lásd:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , cikk és kutatás: Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , Ingyenes elemző
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Tömeg sztrájk használja a digitális kriminalisztikában.
Megjegyzések
- @ user3439894, biztos, frissítettem a kérdést, hogy tartalmazza a hivatkozásokat.