Forensic Artifacts
- Mac OS Forensics vt
Finder MRU
macOS Finder MRU
Finder MRU 개념
- macOS에서 활용하는 윈도우 탐색기 기능으로 폴더 및 파일을 실행할 때 활용되는 기능
- macOS에 가장 기본적인 어플리케이션이며 독 바(Dock Bar)에 기본적으로 고정되어 있음
- 최근 옮겨진 파일의 이름과 목적지의 정보를 저장하고 있는 아티팩트
파일 경로 : /User/< UserName >/Library/Preferences/com.apple.finder.plist
Finder App 실행 시 Apple 탐색기 오픈 각 경로별로 이동하여 원하는 파일을 찾고 실행 가능 ( Windows 탐색기와 사용법 동일 )
Finder 파일 경로 이동
/User/< UserName >/Library/Preferences/com.apple.finder.plist
plist 파일을 백업하여 분석 진행 (라이브 환경에서는 직접 분석 불가)
전용 뷰어(Viewer)를 이용하여 분석
macOS : Xcode
Windows OS : AXIOM, OS Forensics, File Magic 등
[ RecentMoveAndCopyDestinations ] 테이블
최근 이동하거나 복사한 파일의 경로 저장
[ FXRecentFolders ] 테이블
최근 접근한 폴더 정보 저장
