macOS파일시스템높음
FSEvents (파일시스템 이벤트)
볼륨별 파일시스템 변경 이벤트 저널. 파일 생성·삭제·이름변경·소유권 변경을 모두 기록해 Windows의 USN 저널 역할을 합니다.
artifact_type: macos_fseventsd
저장 위치
기본 파일시스템 경로 및 레지스트리 위치입니다. 라이브 대응 도구나 디스크 이미지 분석 도구로 수집합니다.
- $/.fseventsd/
- $/Volumes/{volume}/.fseventsd/
포렌식 의의
이 아티팩트가 결정적 증거로 작용하는 주요 시나리오입니다.
- Proving file deletion even after Trash is emptied
- Detecting anti-forensic rename patterns
- Ransomware — volume-wide file rename telemetry
MITRE ATT&CK 매핑
이 아티팩트가 탐지·입증에 기여하는 기법들. 공식 MITRE 페이지로 이동합니다.
파싱 도구
unJaena AI 및 기타 DFIR 도구가 이 아티팩트에서 증거를 추출하는 데 사용됩니다.
unJaena AI
FSEventsParser (G-C Partners)
mac_apt
관련 아티팩트
macOS
KnowledgeC.db
CoreDuet가 운영하는 DB로 앱 포커스, 잠금/해제, USB 연결, 배터리, 블루투스 페어링, Siri 이벤트 등 macOS/iOS 사용자 행동 타임라인을 저장합니다.
macOS
TCC DB (개인정보 보호 설정)
앱별로 카메라/마이크/연락처/사진/화면 녹화/디스크 전체 접근 권한을 허용한 이력을 기록하는 SQLite DB입니다.
macOS
macOS Quarantine Events (격리 기록)
격리 API를 사용하는 앱(Safari, Chrome, 메일, AirDrop)이 다운로드한 파일의 출처 URL과 User-Agent까지 기록하는 SQLite 로그입니다.
macOS
macOS 통합 로그 (Unified Log)
Apple의 통합 로깅 프레임워크로 시스템·보안·앱 이벤트를 .tracev3 파일에 구조화 저장합니다. 약 30일의 보존 기간을 가집니다.
수작업으로 아티팩트를 뜯어보는 시대는 끝났습니다
unJaena AI는 디스크 이미지, 라이브 대응 산출물, 모바일 백업을 수집 후 이 페이지의 아티팩트와 200종 이상을 자동 상관 분석하여 수사관 수준의 타임라인을 생성합니다.
unJaena AI 체험 →