Directorul rădăcină al majorității sistemelor Mac are un director ascuns numit .fseventsd. Acesta conține un fișier jurnal al evenimentelor sistemului de fișiere. Fișierul jurnal este utilizat în mod obișnuit în investigațiile medico-legale digitale, deoarece conține o listă de fișiere atinse în anumite momente.
Aș dori să știu de ce Mac scrie aceste informații pe disc și cât de des jurnalul este curățat.
- De ce este creat acest jurnal?
Într-adevăr, nu are sens. Este posibil ca programele să se înregistreze pentru a obține evenimente având legătură cu modificările din sistemul de fișiere. Deci, de ce să le scriu într-un jurnal persistent în sistemul de fișiere?
- Cât de des este curățat?
Unul dintre Mac-urile mele are funcționează din decembrie 2018. În urmă cu o lună a avut evenimente care mergeau până în ziua în care am cumpărat-o; acum are evenimente care se întorc la 2 martie la 14:47 („Tastez asta pe 16 martie.)
Am căutat online și pot găsi informații despre cum să decodez formatul fișierului, dar eu într-adevăr nu pot găsi nimic despre motivul pentru care se află acolo.
Pentru informații despre fsevents, consultați:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , articol și cercetări de Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , analizor gratuit
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Stripe de mulțime despre cum să folosiți-l în criminalistică digitală.
Comentarii
- @ user3439894, sigur, am actualizat întrebarea pentru a include referințele.