LaunchServices Quarantine Events
Per-user SQLite log of every file downloaded through a quarantine-aware application (Safari, Chrome, Mail, AirDrop) with source URL and user agent.
保存場所
標準的なファイルシステムパスとレジストリ上の場所です。
- $~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
フォレンジック上の重要性
このアーティファクトが決定的な証拠になりやすい代表的な調査シナリオです。
- Initial access — tracing a malicious download back to its URL
- Phishing — matching email attachments to delivery channel
- Supply-chain compromise — which app fetched the payload
MITRE ATT&CKマッピング
このアーティファクトが検知や裏付けに役立つ可能性のある技術です。
解析に使えるツール
このアーティファクトの解析でよく使われるunJaena AIおよびDFIRツールです。
関連アーティファクト
FSEvents
Per-volume filesystem change journal. Records creation, deletion, rename, and ownership changes for every file — the macOS analogue of USN journal.
KnowledgeC.db
CoreDuet database that logs per-user application focus, device lock/unlock, USB attach, battery, Bluetooth pairing, and Siri events — a macOS/iOS timeline goldmine.
TCC Database
Transparency, Consent, and Control SQLite database recording which applications were granted access to camera, microphone, contacts, photos, screen recording, and full-disk access.
Unified Logs
Apple's unified logging framework stores structured system, security, and application events in compressed .tracev3 files for roughly 30 days of retention.
アーティファクト解析を手作業で終わらせない
unJaena AIはディスクイメージ、ライブレスポンス出力、モバイルバックアップを取り込み、このページのアーティファクトと200件以上の追加項目を自動で関連付け、調査に使えるタイムラインへ整理します。
unJaena AIを試す →