KnowledgeC.db
CoreDuet database that logs per-user application focus, device lock/unlock, USB attach, battery, Bluetooth pairing, and Siri events — a macOS/iOS timeline goldmine.
保存場所
標準的なファイルシステムパスとレジストリ上の場所です。
- $~/Library/Application Support/Knowledge/knowledgeC.db
- $/private/var/mobile/Library/CoreDuet/Knowledge/knowledgeC.db (iOS)
フォレンジック上の重要性
このアーティファクトが決定的な証拠になりやすい代表的な調査シナリオです。
- Per-app usage time reconstruction for acceptable-use violations
- Proving device was active during an alibi window
- Correlating USB insertion with application activity
- Pattern-of-life analysis for mobile investigations
MITRE ATT&CKマッピング
このアーティファクトが検知や裏付けに役立つ可能性のある技術です。
解析に使えるツール
このアーティファクトの解析でよく使われるunJaena AIおよびDFIRツールです。
関連アーティファクト
TCC Database
Transparency, Consent, and Control SQLite database recording which applications were granted access to camera, microphone, contacts, photos, screen recording, and full-disk access.
FSEvents
Per-volume filesystem change journal. Records creation, deletion, rename, and ownership changes for every file — the macOS analogue of USN journal.
RecentDocs
Explorer tracks recently opened files per extension in HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs, including files on removed storage.
LaunchServices Quarantine Events
Per-user SQLite log of every file downloaded through a quarantine-aware application (Safari, Chrome, Mail, AirDrop) with source URL and user agent.
参考資料
アーティファクト解析を手作業で終わらせない
unJaena AIはディスクイメージ、ライブレスポンス出力、モバイルバックアップを取り込み、このページのアーティファクトと200件以上の追加項目を自動で関連付け、調査に使えるタイムラインへ整理します。
unJaena AIを試す →