De hoofdmap van de meeste Mac-systemen heeft een verborgen map met de naam .fseventsd. Dit bevat een logboekbestand met bestandssysteemgebeurtenissen. Het logbestand wordt vaak gebruikt bij digitaal forensisch onderzoek, omdat het een lijst bevat met bestanden die op bepaalde tijden zijn aangeraakt.
Ik zou graag willen weten waarom de Mac deze informatie naar de schijf schrijft en hoe vaak log wordt opgeschoond.
- Waarom wordt dit logboek aangemaakt?
Echt, het heeft geen zin. Het is mogelijk dat programmas zich registreren om gebeurtenissen op te halen te maken hebben met veranderingen in het bestandssysteem. Dus waarom zou je ze naar een permanent logboek in het bestandssysteem schrijven?
- Hoe vaak wordt het opgeschoond?
Een van mijn Macs heeft loopt sinds december 2018. Een maand geleden waren er evenementen die teruggingen tot de dag dat ik het kocht; nu heeft het gebeurtenissen die teruggaan tot 2 maart om 14:47 (ik typ dit op 16 maart).
Ik heb online gekeken en kan informatie vinden over het decoderen van het bestandsformaat, maar ik kan echt “niets vinden over waarom het er is.
Voor achtergrondinformatie over fsevents, zie:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , artikel en onderzoek door Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , gratis parser
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike over hoe gebruik het in digitaal forensisch onderzoek.
Reacties
- @ user3439894, natuurlijk, ik heb de vraag bijgewerkt met de referenties.