Mac OS X - Live Response (5)

이번에는 사용자의 행동과 관련된 정보들을 찾아 볼 것이다. Mac OS X에서는 사용자의 여러 행동 정보(접근/실행 한 파일 및 디렉토리 등)를 plist로 저장해 두고 있다.

[최근 접근한 어플리케이션]

사용자가 최근 접근한 어플리케이션의 정보를 저장하는 plist 파일이 있는데 파일 명은 com.apple.recentitmes.plist(오타 아님)이다. 파일의 위치는 /Users/<사용자이름>/Library/Preferences 이다. 파일은 실행 프로퍼티 리스트로 plutil로 변환하여 보면 [그림 1]과 같다.

[그림 1 - com.apple.recentitmes.plist 파일의 일부분]

한가지 특징으로는 접근한 시간, 즉 타임스탬프를 제공해주지 않는다는 점이다. 그렇기 때문에 해당 정보만을 가지고 특정 시점에 접근 된 파일을 찾기란 무리이고 다른 정보들과 연관지어 조사를 수행해야 한다.

 * 참고 : 어플리케이션 접근 정보도 있지만 파일서버 접근 정보도 포함하고 있다.

[디스크 이미지]

해당 시스템에서 사용자가 오픈한 디스크 이미지의 전체 경로를 포함하는 plist 파일이 있다. 파일 명은 com.apple.DiskUtility.plist 이고 위치는 recentitmes.plist 파일과 동일하다. 물론 이 파일도 일반 텍스트 프로퍼티 리스트로 변환해 주어야 한다.

[그림 2 - com.apple.DiskUtility.plist]

[그림 2]에서는 전체경로가 보이지 않지만 만약 사용자가 오픈한 디스크 이미지가 있을 경우 <string></string> 태그에 보이게 된다.

[어플리케이션 Finder 정보]

Mac OS X 에서 어플리케이션은 Finder라는 주요 정보를 참조하게 되는데 어플리케이션들이 참조하는 Finder 정보는 com.apple.finder.plist 파일에 저장되어 있다. 해당 파일을 통해 여러가지 정보를 수집 할 수 있는데 그 정보들은 다음과 같다.

 - FXConnectToLastURL 키 - 어플리케이션이 마지막으로 연결하였던 파일서버의 전체주소를 제공한다.

 - FXDesktopVolumePositions 키 - 시스템에서 이전에 마운트되었던 볼륨명과 마운트포인트 명을 제공한다.

 - FxRecentFolders 키 - 사용자가 최근에 보거나 접근한 디렉토리 정보를 제공한다.

[연결 디바이스 정보]

포렌식 수행 과정에서 연결된 디바이스들의 정보 중 가장 관심이 가는 것은 당연히 이동형 저장장치 일 것이다. 이 정보는 kernel.log에 저장되어 있다. 또 다른 연결 디바이스 정보들은 com.apple.iPod.plist 에 저장되어 있다.

kernel.log는 /var/log 디렉토리에 위치하고 있으며 당연히 외부장치형 디바이스의 연결정보만 저장하는 것이 아니기 때문에 특정 키워드로 검색을 해주어야 한다. 그 키워드는 "USBMSC" 이다.

[그림 3 - USB 연결 기록]

위 정보를 정리해보면 다음과 같다.

 - 날짜 및 시간 : May 6 10:52:09(5월 6일 10시 52분 09초)

 - 연결 디바이스 타입 : USB

 - Serial Number : 8998000000000081125034C5

 - Vender ID : 0x1516

 - Product ID : 0x8628

 - Firmware Version : 0x200

com.apple.iPod.plist 파일은 /Users/<사용자이름>/Library/Preferences 디렉토리에 있으며 해당 파일에는 여러 디바이스 리스트와 연결시각 등 kernel.log와 거의 유사한 정보들이 목록화 되어 있다.