[Mac Forensics] Mac OS X 간편하게 조사하기

안녕하세요. 도깬리 포렌식스 입니다. 

오늘은 OS X에 대한 간편한 조사방법을 알아보겠습니다. 모두 화이팅하세요!!!

 

포렌식 임시계정을 만들어 조사하기

 

장점

간단합니다 : 즉, 사용자가 평소대로 보는 것처럼 증거를 살펴 볼 수 있습니다.

설치되어 있는 원래의 프로그램을 사용하게 되므로 데이터를 더욱 쉽게 처리할 수 있습니다.

스크린 샷을 찍을 수 있고, 증거에 대한 PDF 사본을 만들 수 있습니다.

OS X를 이용하여 증거를 확인할 수 있습니다. (예: Spotlight index)

기술이 없는 일반인도 쉽게 이해할 수 있습니다.

포렌식 임시 계정을 손쉽게 만들 수 있고, 작업이 끝난 후 계정 폐기할 수 있습니다.

 

혐의 파일을 보기 위하여 새로운 사용자 계정은 다음과 같이 만들어져야 합니다.

- System preferences에서 User Accounts를 선택합니다.

- 인증을 마친 후 새로운 사용자 계정을 추가하기 위해 + 를 클릭합니다.

- 새로운 계정에 관한 정보를 넣고, Administrator 권한을 허용합니다.

 

 

- Automatic Log in을 끕니다

- Fast User Switching을 선택합니다.

- 추가적인 변경을 차단하기 위해 Lock을 클릭합니다.

- 혐의 파일에 대해 복사합니다.

 

 

빠른 사용자 전환 활용하기

OS X는 Fast User Switching (빠른 사용자 전환)을 이용하여 한번에 여러 계정으로 동시 로그인이 가능합니다.

Fast Switching은 기본적으로 활성화되어 있지 않으나, 새로운 계정이 추가되거나 나중에 ‘빠른 사용자 전환’ 기능을 활성화 시킬 수 있습니다.

전환하더라도 원래의 계정을 로그아웃 시키지 않고, 백그라운드에서 동작되도록 둘 수 있습니다.

Switching이 활성화 되면, Spotlight 아이콘의 옆, 메뉴 바의 오른쪽에 위치할 겁니다.

 

 

자주 사용하는 조사용 단축키

Command + Shift + 3

전체 데스크탑에 대한 스크린 샷 입니다.

Command + Shift + 4

영역을 지정하여 스크린 샷을 할 수 있습니다.

Command + Shift + 4 + Spacebar

활성화된 윈도우 또는 메뉴만 스크린 샷을 할 수 있습니다.

Command + delete

파일 삭제 --> 휴지통으로 들어갑니다.

Command + delete + shift

휴지통 비우기 입니다.

 

 

인쇄하기

OS X는 그래픽 및 디스플레이 계층으로써 Quartz 엔진을 이용합니다.

Quartz는 postscript가 아니라 오픈 소스 PDF specification을 이용합니다.

이것으로 인해 3rd 파티 소프트웨어를 사용하지 않고서도 곧바로 PDF로 인쇄할 수 있습니다.

프린터로 보내어 질 수도 있고, PDF로 인쇄될 수도 있습니다.

PDF는 기업과 법집행기관에게 문서화의 표준으로 여겨집니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)