W katalogu głównym większości systemów Mac znajduje się ukryty katalog o nazwie .fseventsd. Zawiera plik dziennika zdarzeń systemu plików. Plik dziennika jest powszechnie używany w dochodzeniach w zakresie kryminalistyki cyfrowej, ponieważ zawiera listę plików dotkniętych w określonym czasie.
Chciałbym wiedzieć, dlaczego Mac zapisuje te informacje na dysku i jak często dziennik jest czyszczony.
- Dlaczego ten dziennik jest tworzony?
Naprawdę nie ma to sensu. Programy mogą rejestrować się w celu pobierania zdarzeń mając do czynienia ze zmianami w systemie plików. Po co więc zapisywać je w stałym dzienniku w systemie plików?
- Jak często jest czyszczony?
Jeden z moich komputerów Mac ma działa od grudnia 2018 r. Miesiąc temu miały wydarzenia sięgające dnia, w którym go kupiłem; teraz ma wydarzenia rozpoczynające się 2 marca o 14:47 (piszę to 16 marca).
Sprawdziłem w Internecie i mogę znaleźć informacje o tym, jak zdekodować format pliku, ale naprawdę nie mogę znaleźć nic o tym, dlaczego tak jest.
Aby zapoznać się z tłem fsevents, zobacz:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , artykuł i badania Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , bezpłatny parser
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike, jak to zrobić używać go w kryminalistyce cyfrowej.
Komentarze
- @ user3439894, oczywiście, zaktualizowałem pytanie, aby zawierało odniesienia.