有位同好先前有拜读过数年前我的一篇拙作,提及如何查找Mac上的USB存储设备使用痕迹,而由于操作系统已有所不同,他希望我再为各位谈一下.
没错, macOS的日志机制不再像过去是text-based仅是存放在日志文件之中可直接进行检视,而是基于一个所谓”Unified Logging System”. 特点在于其结构特殊且无法以工具直接窥得内容.
以下便为各位示范一下如何以指令查看Mac上的USB存储设备使用痕迹.首先插入一只U盘,从系统信息中即可看到其厂牌型号及序号等信息.
接着再打开终端,输入搜集日志的指令如下所示.实时日志便会被归档至特定文件,路径及文件名如下所示.
那要如何从中得知USB存储设备使用痕迹呢?关键词便是”USBMSC”,进行过滤之后即可得到前述那支U盘的使用痕迹了.
那这所谓Unified Log是位于何处呢?如下图所示,就是这些后缀名为 . tracev3的文件.以一般应用程序是难以开启及检视内容的.基于取证分析,可以采用如Magnet AXIOM等工具以有效查看相关内容.
