Forensic Artifacts
- Mac OS Forensics vt
macOS Spotlight
macOS DS_Store
macOS Spotlight 개념
- macOS 문서 / 응용프로그램 / DB / Mail등 사용자가 원하는 파일을 검색하고 실행할 수 있는 엔진
- 검색어 입력 시 수정 된 파일 이름 정보 뿐만 아니라 변화되는 컨텐츠의 정보까지 카테고리화 하여 제공
- 인덱싱 기능을 포함하고 있어 문서 내부의 특정 키워드 검색 지원
- macOS의 데이터베이스 테이블 정보까지 검색 지원
파일 경로 : Users/
Vi 명령어를 통해 해당 데이터 내부 정보를 확인 가능
언어 정보 / 최근 실행한 Spotlight 시간 확인 가능
Users/
인덱싱 목록 및 / MAC Computer 정보 확인
Users/
인덱싱 리스트 상세 정보 확인
Users/
인덱싱 리스트 상세 정보 확인
해당 dat 파일 구조를 보기위해 파일타입 확인
인덱싱 리스트 상세 정보 확인
.plist 구조를 분석 할 수 있는 전용 도구를 이용해 분석
