[Mac Forensics] Mac에서의 인덱스 분석

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Mac에서의 인덱스 분석에 대해 알아 보겠습니다. 모두 화이팅하세요 !!!

 

Spotlight and Metadata

Spotlight는 다음과 같이 예외적으로 마운트된 모든 볼륨에 대해 인덱스 하기 시작합니다.

- 광학 미디어

- 네트워크 드라이버 (다만, 파일 공유가 켜져 있지 않다면)

- 잠긴 볼륨 (읽기 전용)

Spotlight 인덱스 파일은 .Spotlight-V100 이라는 숨겨진 디렉토리에 저장됩니다. 이 디렉토리는 볼륨의 root level에 있으며 색인 데이터를 갖고 있습니다. .Spotlight-V100은 이것과 비슷한 경로에 있는 일련의 인덱스, 저널링, 데이터베이스 파일를 포함합니다.

/.Spotlight-V100/Store-V2/Stores/B46E9012-7796-41D8-817F-DB0B1464CF19/

store.db 파일은 Spotlight가 사용한 실제의 metadata index를 갖고 있습니다.

 

 

mdutil

mdutil을 통해 Spotlight가 이용하는 메타데이터를 관리할 수 있습니다.

- 마운트된 드라이브에 대한 상태 보기

sudo mdutil –s /Volumes/*

- 인덱싱을 작동시키기

sudo mdutil –i on /Volume name

- 인덱싱을 끄기

sudo mdutil –i off /Volume name

- Spotlight 인덱스 파일을 삭제하기

sudo mdutil –E volume name

 

 

mdls

mdls 명령어는 파일과 관련된 Extended metadata attributes를 보여 줍니다.

mdls filename

 

 

mdimport

Spotlight는 다양한 메타데이터 속성을 사용하여 검색을 수행합니다.

이용 가능한 속성의 목록은 mdimport 명령어를 사용하여 확인할 수 있습니다.

mdimport -A

 

 

기본적으로 Spotlight는 메타데이터 인덱스에서 숨김, 시스템, 개발자 디렉토리와 같은 일부 디렉토리를 포함하지 아니하나, 활성화시키면 Spotlight 검색에서 볼 수 있게 됩니다.

midimport 명령어는 강제로 볼륨, 폴더 또는 파일을 색인되게 할수도 있고, 기본 필터링 규칙을 우회시키는 것도 가능합니다.

midimport / (volume, directory, file)

 

Locked Volume – shadow file 생성하기

포렌식 이미지에 변경이 일어나지 않도록 하기 위하여 볼륨은 잠겨져 있어야 합니다.

만약 볼륨이 잠겨져 있으면 Spotlight에 의해 색인이 불가능하게 됩니다.

shadow 명령어는 잠겨진 포렌식 이미지도 색인이 가능하게 하는 명령어입니다.

어떤 드라이브를 shadow 명령어로 마운트하면 shadow 파일이 생성됩니다.

원본 볼륨에 대한 모든 쓰기와 변경사항은 shadow 파일에도 반영됩니다.

sudo hdiutil attach locked-file.dmg –shadow

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)