안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Macintosh 파일시스템에 대해 알아보겠습니다. 모두 화이팅 하세요!!!
Metadata 이해하기
다른 데이터에 대한 정보를 보여주는 데이터 (data about data)입니다.
Physical File Metadata
파일의 실제 내용이 아닌 부분까지 포함하는 어떤 파일에 관련된 정보입니다.
물리적으로 그 파일과 함께 기록될 수 있습니다. (The file metadata may be located with the file physically.)
Filesystem Metadata
파일시스템 구조체 내부에 저장된 파일과 관련된 정보 입니다.
예) 생성 및 수정 날짜는 HFS+ filesystem Catalog 파일에 저장되어 있습니다.
Tiger (2005, v10.4)버전 이래로, OS X는 확장 파일 속성(extended file attributes)을 사용하여 파일에 대한 추가적인 메타데이터를 저장합니다. 이러한 메타데이터는 HFS+ 파일시스템 Attributes File 안에 위치하게 됩니다.
예) 사용자는 Spotlight Comment를 추가할 수 있습니다.
10.4 버전 이전에는 대부분의 파일 메타데이터는 ‘._’로 시작되는 숨겨진 파일 안에 저장되어 있습니다. 이러한 파일은 HFS+ 파일시스템에서 FAT32 파일시스템으로 복사를 할 때 쉽게 노출될 수 있습니다.
예) ._sumuri.txt
Mac Magic
인터넷 검색 단어로 다운로드한 사진파일에 대한 검색도 가능합니다.
확장 속성 (Extended Attributes)
어플리케이션, 프로세스가 Extended Attributes를 생성 할 수 있습니다.
사용자에 의해 생성되는 Attributes가 대부분입니다.
Extended Attributes는 원래의 파일이 아닌 숨겨진 시스템 파일 안에 저장됩니다.
Extended Attributes는 신속하게 사용자 데이터를 찾는 데 이용될 수 있습니다.
Legacy File Attributes
구형 파일 속성 또는 파일 플래그 (Legacy File Attributes or File Flags)입니다.
다양한 파일시스템의 기능을 수행하는데 이용됩니다.
구형 Mac OS로부터 비롯된 속성입니다.
파일 또는 디렉토리에 대한 사용자의 접근을 제어하는데 이용됩니다.
예) ‘잠금’ 플래그, ‘Symbolic Link’ 플래그, ‘숨김’ 플래그
구형 속성들은 Extended Attributes으로 존재할 수도 있습니다.
AppleDouble Files
Extended Attributes가 붙은 Mac 파일을 Non-Mac 파일시스템으로 전환할 때 생성됩니다.
Extended Metadata는 ._<filename>.<extension> 포맷으로 저장됩니다.
파일의 원래의 내용에는 영향이 없습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Mac에서의 키워드 검색 (01) (0) | 2023.10.24 |
|---|---|
| [Mac Forensics] Mac에서의 인덱스 분석 (0) | 2023.10.22 |
| [Mac Forensics] Spotlight를 이용한 인덱싱과 검색 (0) | 2023.10.18 |
| [Mac Forensics] Single User Mode와 휘발성 데이터 수집 (0) | 2023.10.15 |
| [Mac Forensics] 동작중인 Mac 조사하기 (02) (0) | 2023.10.11 |