macOS시스템높음
TCC DB (개인정보 보호 설정)
앱별로 카메라/마이크/연락처/사진/화면 녹화/디스크 전체 접근 권한을 허용한 이력을 기록하는 SQLite DB입니다.
artifact_type: macos_tcc_db
저장 위치
기본 파일시스템 경로 및 레지스트리 위치입니다. 라이브 대응 도구나 디스크 이미지 분석 도구로 수집합니다.
- $/Library/Application Support/com.apple.TCC/TCC.db
- $~/Library/Application Support/com.apple.TCC/TCC.db
포렌식 의의
이 아티팩트가 결정적 증거로 작용하는 주요 시나리오입니다.
- Identifying apps with microphone/camera access before a leak
- Malware granted unusual privacy permissions
- Supply-chain attack — third-party app with FDA privilege
MITRE ATT&CK 매핑
이 아티팩트가 탐지·입증에 기여하는 기법들. 공식 MITRE 페이지로 이동합니다.
파싱 도구
unJaena AI 및 기타 DFIR 도구가 이 아티팩트에서 증거를 추출하는 데 사용됩니다.
unJaena AI
mac_apt
APOLLO
tccutil
관련 아티팩트
macOS
KnowledgeC.db
CoreDuet가 운영하는 DB로 앱 포커스, 잠금/해제, USB 연결, 배터리, 블루투스 페어링, Siri 이벤트 등 macOS/iOS 사용자 행동 타임라인을 저장합니다.
macOS
macOS Quarantine Events (격리 기록)
격리 API를 사용하는 앱(Safari, Chrome, 메일, AirDrop)이 다운로드한 파일의 출처 URL과 User-Agent까지 기록하는 SQLite 로그입니다.
Windows
RecentDocs (최근 문서)
Explorer가 확장자별 최근 열어본 파일을 HKCU에 저장합니다. 이미 제거된 USB/네트워크 드라이브의 파일도 포함됩니다.
macOS
FSEvents (파일시스템 이벤트)
볼륨별 파일시스템 변경 이벤트 저널. 파일 생성·삭제·이름변경·소유권 변경을 모두 기록해 Windows의 USN 저널 역할을 합니다.
수작업으로 아티팩트를 뜯어보는 시대는 끝났습니다
unJaena AI는 디스크 이미지, 라이브 대응 산출물, 모바일 백업을 수집 후 이 페이지의 아티팩트와 200종 이상을 자동 상관 분석하여 수사관 수준의 타임라인을 생성합니다.
unJaena AI 체험 →