Forensic Artifacts
- Mac OS Forensics vt
RecentDocuments
RecentDocuments 개념
- 자주 사용하는 앱이나 기능을 모아둔 바로가기 아티팩트
- 최근 실행한 문서 이름, 문서의 실행 위치 획득 가능
- 파일 유형별 실행 순서 / 시간 획득 가능
- 볼흄 생성일, 볼륨 네임 등 정복 획득 가능
Path : Users/[ username ]/Application \Support/com.apple.sharedfilelist
com.apple.sharedfilelist 하위 파일에서 최근 실행한 파일 / 미디어 목록 확인 가능
Path : com.apple.LSSharedFileList.RecentHost.sfl2
최근 접속한 공유 폴더/NAS/File Server 정보 획득
특정 어플리케이션을 통해 열어본 문서 리스트
