Rotkatalogen til de fleste Mac-systemer har en skjult katalog kalt .fseventsd. Dette inneholder en loggfil over filsystemhendelser. Loggfilen brukes ofte i digitale rettsmedisinske undersøkelser, fordi den inneholder en liste over filer som er berørt innen bestemte tider.
Jeg vil gjerne vite hvorfor Mac-en skriver denne informasjonen til disken og hvor ofte loggen blir renset.
- Hvorfor opprettes denne loggen?
Virkelig, det gir ingen mening. Det er mulig for programmer å registrere seg for å få arrangementer har å gjøre med endringer i filsystemet. Så hvorfor skrive dem til en vedvarende logg i filsystemet?
- Hvor ofte blir det renset?
En av Mac-ene mine har har kjørt siden des 2018. For en måned siden hadde begivenhetene helt tilbake til dagen jeg kjøpte den; nå har det hendelser som går tilbake til 2. mars kl 14:47 (jeg skriver dette 16. mars.)
Jeg har sett på nettet og kan finne informasjon om hvordan du dekoder filformatet, men jeg kan virkelig ikke finne noe om hvorfor det er der.
For bakgrunn om fsevents, se:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , artikkel og forskning av Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , gratis parser
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike om hvordan du bruk den i digital rettsmedisin.
Kommentarer
- @ user3439894, visst, jeg oppdaterte spørsmålet for å inkludere referansene.