La directory principale della maggior parte dei sistemi Mac ha una directory nascosta chiamata .fseventsd. Contiene un file di registro degli eventi del file system. Il file di registro è comunemente usato nelle indagini forensi digitali, perché contiene un elenco di file toccati in tempi particolari.
Mi piacerebbe sapere perché il Mac scrive queste informazioni sul disco e con quale frequenza log è pulito.
- Perché è stato creato questo log?
Davvero, non ha senso. È possibile che i programmi si registrino per ottenere eventi ha a che fare con i cambiamenti nel file system. Allora perché scriverli in un registro persistente nel file system?
- Quanto spesso viene pulito?
Uno dei miei Mac ha è attivo da dicembre 2018. Un mese fa cerano eventi che risalivano al giorno in cui lho acquistato; ora ha eventi che risalgono al 2 marzo alle 14:47 (lo scrivo il 16 marzo)
Ho cercato online e posso trovare informazioni su come decodificare il formato del file, ma ho davvero non riesco a trovare nulla sul motivo per cui è presente.
Per informazioni di base su fsevents, vedere:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , articolo e ricerca di Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , parser gratuito
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike su come usalo nella medicina legale digitale.
Commenti
- @ user3439894, certo, ho aggiornato la domanda per includere i riferimenti.