[Mac Forensics] Mac에서의 키워드 검색 (02)

안녕하세요. 도깬리 포렌식스입니다.

오늘은 Spotlight를 이용한 키워드 검색에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!

 

Spotligh

Spotlight의 그래픽 버전은 데스크탑의 우측 상단의 Spotlight 심볼을 클릭하여 사용할 수 있습니다.

Spotlight는 Keystrokes(Command + Spacebar, 한영전환)를 이용하여 접근할 수 있습니다.

Spotlight 설정정보는 System Preferences에 저장됩니다.

원칙적으로 조사자의 외장하드는 검색에서 제외되어야 하므로 Privacy탭에서 제외 설정을 해주어야 합니다.

 

 

Spotlight 설정

Categories를 활성화/비활성화 가능합니다.

출력순서를 변경 가능합니다.

Globally effect system

 

 

제외해야 할 볼륨 폴더를 선택할 수 있습니다.

변경사항은 즉시 반영됩니다.

인덱스의 제거, 추가, 재생성이 가능합니다.

 

 

불린 연산자 Boolean operators

- 예 : Computer|Forensics

Computer 또는 Forensics로 된 단어가 포함된 것을 보여 줍니다.

- 예 : Computer (-Forensics)

Computer 단어가 포함된 문장 중에서 Forensics 단어가 포함된 것은 제외하고 보여 줍니다.

 

 

Spotlight 검색에서 임의의 값으로 검색을 한 후, 검색창 맨 하단의 ‘Show all Finder”를 더블 클릭하면 필터창이 나타납니다.

Spotlight를 통해서 검색 결과를 디바이스 별로, 장소 별로, 키워드 별로, 메타데이터의 속성을 기준으로 검색범위를 좁힐 수 있습니다.

검색은 즉각적으로 결과를 보여 줍니다.

+ 심볼을 클릭하여 추가적인 필터를 적용할 수 있습니다.

 

 

검색 결과에서 추가적인 필터나 키워드를 추가하여 재검색된 결과를 볼 수 있습니다.

검색해야 할 데이터의 범위를 추가할 수 있습니다.

검색창에 거의 무한대의 변수를 추가할 수 있습니다.

 

 

Finder Sidebar에 저장된 검색결과를 추가할 수 있습니다.

저장된 검색결과는 다른 사람과 공유할 수 있습니다.

Custom Searches가 저장된 위치는 ~/Library/Saved Searches 입니다.

저장된 검색을 더블 클릭하면 Saved Spotlight Search가 시작됩니다.

 

 

검색 예) “파일 작성자 검색” 

 

 

검색 예)  “파일 유형 검색”

 

 

검색 예)  “파일 날짜 검색”

 

 

검색 예)  “모든 문서 형태의 자료 검색”

 

 

검색 예)  “파일의 내용 검색”

 

 

검색 예)  “이메일 검색”

 

 

검색 예)  “인터넷 다운로드된 자료 검색”

 

 

검색 예)  “로그 파일 검색”

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)