[Mac Forensics] Mac 아티팩츠 분석 (01)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Mac에서의 주요 아티팩츠에 대해 알아보겠습니다. 모두 화이팅 하세요!!!

 

Users Directory

일반적으로 파일은 사용자의 홈 디렉토리 내부의 기본 경로에 위치하게 됩니다.

‘Users’ 디렉토리는 하드드라이브의 최상위 root에 위치합니다.

‘Home’ 디렉토리는 일반적으로 사용자의 이름으로 표시됩니다.

‘Shared’ 디렉토리는 로컬 시스템의 다른 사용자가 접근하여 읽고 쓸수 있는 파일을 모아 놓은 곳 입니다.

 

 

User > Library

Library 디렉토리에는 resources, 사용자 환경 설정, 각 개별 사용자에 대한 데이터가 저장되어 있습니다.

이것은 Windows 시스템의 ‘Documents and Settings’폴더와 레지스트리를 합친 것과 비슷한 개념입니다.

즉, 포렌식 분석 측면에서 ‘Forensic Goldmine’ 입니다.

사용자의 Library를 global and universal 설정을 포함하는 Global Library 디렉토리와 혼동하지 않도록 주의 합니다.

 

 

User > Library > Preferences

어플리케이션의 설정파일은 Plists 파일에 저장됩니다.

프로그램이 업데이트되면 설정정보를 Plists에 반영하게 됩니다.

Preferences 폴더는 아티팩츠 분석을 위한 또 하나의 중요한 정보라고 할 수 있습니다.

 

 

어플리케이션이 설치되거나 처음으로 동작하게 되면 해당 어플리케이션의 Plist 날짜와 시각이 모두 동일할 것 입니다.

이러한 현상은 새로운 데이터가 Plist에 추가될 때에도 마찬가지 입니다.

새로운 파일이 생성될 때 각각의 시간 데이터가 추가되기 마련입니다.

 

 

User > Library > Containers

Containers는 Sandbox 어플리케이션에 이용됩니다.

Users와 마찬가지로, 하나의 어플리케이션이 권한 없이 다른 어플리케이션에 영향을 끼칠수 없습니다.

어플리케이션 폴더 내부의 디렉토리는 사용자 디렉토리 구조와 비슷합니다.

대부분의 파일은 공간을 절약하기 위해 Hard Links 형태로만 존재합니다.

 

 

User > Library > Preferences > com.apple.recentitems.plist

마지막 10개의 접근 문서를 확인할 수 있습니다.

마지막 10개의 접근한 어플리케이션을 확인할 수 있습니다.

마지막 10개의 접근한 서버를 알 수 있습니다.

 

 

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)