macOS Bluetooth plist
System Bluetooth configuration plist records paired devices with their MAC address, display name, device type, and last seen / last connected timestamps.
保存場所
標準的なファイルシステムパスとレジストリ上の場所です。
- $/Library/Preferences/com.apple.Bluetooth.plist
フォレンジック上の重要性
このアーティファクトが決定的な証拠になりやすい代表的な調査シナリオです。
- Identifying a suspect's personal device near a compromised host
- Data exfiltration via Bluetooth file transfer
- Physical-proximity correlation with device owner
MITRE ATT&CKマッピング
このアーティファクトが検知や裏付けに役立つ可能性のある技術です。
解析に使えるツール
このアーティファクトの解析でよく使われるunJaena AIおよびDFIRツールです。
関連アーティファクト
Windows Bluetooth Pairings
Windows records paired Bluetooth devices under HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Devices, preserving MAC and name after unpairing.
KnowledgeC.db
CoreDuet database that logs per-user application focus, device lock/unlock, USB attach, battery, Bluetooth pairing, and Siri events — a macOS/iOS timeline goldmine.
TCC Database
Transparency, Consent, and Control SQLite database recording which applications were granted access to camera, microphone, contacts, photos, screen recording, and full-disk access.
FSEvents
Per-volume filesystem change journal. Records creation, deletion, rename, and ownership changes for every file — the macOS analogue of USN journal.
アーティファクト解析を手作業で終わらせない
unJaena AIはディスクイメージ、ライブレスポンス出力、モバイルバックアップを取り込み、このページのアーティファクトと200件以上の追加項目を自動で関連付け、調査に使えるタイムラインへ整理します。
unJaena AIを試す →