[Mac Forensics] Mac 아티팩츠 분석 (14)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Mac 아티팩츠 분석 14회차 입니다. 모두 화이팅 하세요!!!

 

.Trash : Mac’s File Deletion

.Trash는 삭제된 파일이 포함되어 있는 숨겨진 폴더로 사용자 계정에서 발견됩니다.

.Trashes는 외부 저장장치(External media)에서 발견되기도 합니다.

GUI counterpart는 dock 안에 위치한 Trash를 보여 줍니다.

삭제된 파일은 .Trash로 보내고, 사용자가 지울 때 까지(until purged by the user) 남아 있게 됩니다.

Trash 안에 있는 동안 파일은 볼 수도 없고 사용할 수도 없습니다. 그렇게 하기 위해서는 다른 장소로 옮겨 져야 합니다. (휴지통에 있는 파일은 볼 수도, 사용할 수도 없다.)

어떠한 Recovery 프로세스도 허용되지 않습니다. 그 파일만 Trash에서 데스크탑 또는 다른 폴더로 드래그 되어야만 합니다.

Snow Leopard를 시작하면서 ‘Pull Back’ 기능이 반영되었습니다.

Trash가 비워질 때까지 해당 디스크 스페이스는 열리지 않습니다.

.Trash는 숨겨진 폴더이며, Finder에서 그것과 그 안의 파일을 보기 위해서는 권한을 변경하여야 합니다.

 

숨긴 파일까지 보게 하는 명령어

default write com.apple.finder AppleShowAllFiles TRUE

killall Finder

 

권한(Permission)이 재설정하면, .Trash를 Home 디렉토리에서 볼 수 있게 됩니다.

 

기본 모드로 되돌아 가는 명령어

defaults wirte com.apple.finder AppleShowAllFiles FALSE

killall Finder

 

터미널에서 .Trash를 볼 수 있습니다.

일반적인 ls 명령어로는 .Trash를 볼 수 없으므로.  –a 스위치를 이용해야 하고, l은 추가적인 정보를 제공하게 합니다.

조사자는 .Trash 폴더로 디렉토리를 변경하고, 컨텐츠를 보여 주면 됩니다.

 

 

trash를 비우기 위해, 사용자는 Empty와 Secure Empty 둘 중 하나를 선택하여야 합니다.

 

<일반 삭제><휴지통 비우기>

Empty는 파일에 대한 디렉토리 엔트리를 삭제합니다.

 

<안전 삭제><휴지통 덮어쓰기>

Secure Empty는 파일 데이터를 7번 덮어쓴 다음 해당 파일에 대한 폴더 엔트리와 다른 참조정보를 덮어 씁니다.

Secure deletion은 Command Line에서 다음과 같은 명령어를 사용하여 수행할 수 있습니다.

l  srm –mv <name of file>

 

 

Initial Data Gathering & Triage

대부분의 컴퓨터 포렌식 분석 보고 절차에는 획득 대상이 되고 보고서에 포함해야 할 시스템에 대한 기본 정보를 필요로 합니다.

Triage 프로세스는 분석의 우선 순위와 선별의 목적을 확실히 하기 위하여 여러 시스템에 대한 특정한 정보를 신속하게 수집하고 검토하는 절차입니다. (Triage processes quicky gather and review certain information about many systems in order to determine the analysis priority and/or exclusion.)

 

Mac 에서도 다음과 같은 정보를 해당 위치를 안다면 쉽게 찾을 수 있습니다.

- Operating system version

- User GUIDs

- Recent files

- Apps set to start at login

- Last User Logged In

- Apps on the user’s Dock (non-stock)

 

System > Library > CoreServices > SystemVersion.plist

 

 

var > db > dslocal > nodes > Default > users > <user>.plist

OS 10.7에서 사용자가 계정을 만들게 되면 GUID가 생성되어 plist 파일에 저장됩니다.

UID도 마찬가지로 저장된다.

 

 

Library > Preferences > com.apple.loginwindow.plist

시스템에서 loginwindow.plist 파일에는 마지막으로 사용자가 로그인한 정보가 포함되어 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)