MAC OS X는 데이터를 저장하고 있는 파일의 위치가 다름.
시스템 시간 : date라는 명령어와 uptime을 통해 얼마나 부팅되어 있는지 확인가능
네트워크 연결 정보 : 현재 시스템이 연결하고 있는 호스트와 연결했던 호스트를 보여줌 netstat -an명령어로 확인 가능
프로세스 목록 : ps명령어로 수집. 뒤에 -ef
사용자 정보 : 맥은 유닉스를 사용하기 대문에 유닉스는 다중 사용자 시스템으로 여러 사용자들이 동시에 접속하여 어떠한 기능 수행을할 수 있다. w를 통해 확인이 가능함.
파일 정보 : 현재 어떤 파일이 어떤 명령으로 인해 열려 있고 어떤 네트워킹 작업을 하고 있는지 수집가능 lsof명령어를 사용
시간 정보 : 포렌식에서 가장중요한 시간 정보 시간 종류별 설명
Modify Time : 파일의 내용을 수정한경우 갱신
Access Time 파일을 읽거나 실행한 경우 갱신
Create Time 파일이 생성도니 시간을 의미
Change Time 파일의 Metadata가 수정도니 경우 갱신
Property List : 맥은 다른 OS와 다르게 프로퍼티 리스트 라는 파일이 존재. 맥에서 실행되는 어플리케이션 파일들이 존재
건듀의 포렌식 공부 (MAC OS 정보수집)