안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Mac OS X에서 Root Directory 아래의 아티팩트에 대해 알아보겠습니다. 모두 화이팅 하세요!!!
Mac OS X의 Root Directory
Applications
모든 설치된 어플리케이션은 기본적으로 이 위치에 설치될 것 입니다.
그러나 어플리케이션은 어떤 위치에 있더라도 동작 가능합니다.
Users
모든 로컬 사용자의 홈 디렉토리는 여기에 위치합니다.
여기엔 Shared 사용자 폴더가 있을 수 있습니다.
System
OS X의 일부 시스템 관련 데이터가 위치합니다.
Library
3rd 파티 add-on이 여기서 발견될 수 있습니다.
.Trashes
Volume 레벨의 ‘Trash’는 볼륨에 있는 파일의 삭제와 관련된 정보를 포함합니다.
Network
Domain control, Open Directory or Active Directory로 이용됩니다.
Private
시스템 로그, CUPS 프린팅 정보, 해쉬된 패스워드, 오래된 사용자 계정에 관한 정보 등을 포함합니다.
DocumentRevision-V100
이전 버전의 문서가 보관되어 있을 수 있습니다.
.DS_Store
디렉토리의 설정과 열람에 관한 데이터를 포함합니다.
각각의 디렉토리는 Finder가 특정 디렉토리에 접근할 때 이러한 파일을 갖게 됩니다.
.fseventsd
이 디렉토리는 드라이브에 파일시스템 이벤트를 로그로 남길 수 있게 합니다.
예) Mac 에서 USB 를 제대로 연결 해제 하지 않았을 때 생성
.hotfiles.beetree
B트리 파일이며, 접근 가능 파일에 대한 정보를 저장해 둡니다.
.Spotlight-V100
이 디렉토리 안에는 Spotlight index 가 위치합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Macintosh File System (01) (0) | 2023.09.17 |
|---|---|
| [Mac Forensics] Mac OS X 간편하게 조사하기 (0) | 2023.09.15 |
| [Mac Forensics] Mac OS X 소개 (05)-User Home Folders (0) | 2023.09.09 |
| [Mac Forensics] Mac OS X 소개 (04)-Quick Look (0) | 2023.09.07 |
| [Mac Forensics] Mac OS X 소개 (03)-Status Bar 등 (0) | 2023.09.05 |