대부분의 Mac 시스템의 루트 디렉토리에는 .fseventsd
라는 숨겨진 디렉토리가 있습니다. 여기에는 파일 시스템 이벤트의 로그 파일이 있습니다. 로그 파일은 특정 시간 내에 만진 파일 목록을 보유하기 때문에 일반적으로 디지털 포렌식 조사에 사용됩니다.
Mac이이 정보를 디스크에 기록하는 이유와 디스크에 기록되는 빈도를 알고 싶습니다. 로그가 정리됩니다.
- 이 로그가 생성되는 이유는 무엇입니까?
정말 말이되지 않습니다. 프로그램이 이벤트를 가져 오기 위해 등록 할 수 있습니다. 파일 시스템의 변경과 관련이 있습니다. 그렇다면 파일 시스템의 영구 로그에 기록하는 이유는 무엇입니까?
- 얼마나 자주 정리됩니까?
내 Mac 중 하나가 2018 년 12 월부터 운영되고 있습니다. 한 달 전에 내가 구입 한 날로 돌아가는 이벤트가있었습니다. 이제 3 월 2 일 14:47로 돌아가는 이벤트가 있습니다 (3 월 16 일에 입력합니다.)
온라인에서 파일 형식을 디코딩하는 방법에 대한 정보를 찾을 수 있지만 그 이유를 찾을 수 없습니다.
fsevent에 대한 배경 정보는 다음을 참조하십시오.
- http://nicoleibrahim.com/apple-fsevents-forensics/ , Nicole Ibrahim의 기사 및 연구
- https://github.com/dlcowen/FSEventsParser , 무료 파서
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , 방법에 대한 Crowd Strike 디지털 포렌식에서 사용하세요.
댓글
- @ user3439894, 참조를 포함하도록 질문을 업데이트했습니다.