DS_STORE 파일이란 Desktop Services Store의 약자로 애플에서 정의한 파일 포맷이다. 애플의 맥 OS X 시스템이 폴더에 접근할 때 생기는 해당 폴더에 대한 메타데이터를 저장하는 파일이다. 윈도우의 thumb.db 파일과 비슷하다. 분석해보면 해당 디렉토리 크기, 아이콘의 위치, 폴더의 배경에 대한 정보들을 얻을 수 있다. 맥 OS 환경에서만 생성 및 사용되지만, 파일을 공유하는 과정에서 이 파일도 같이 공유되는 경우가 있다.
DS_STORE 파일이 대부분의 경우 쓸모 없는 파일일 경우가 많겠지만, 포렌식적 관점에서 유용하게 사용될 수 있다고 한다. 유용하게 사용될 수 있는 정보들은 다음과 같다.
첫 번째로는 spotlight comment 정보다. mac에서는 파일에 원하는 태그를 걸면, 파일탐색기와 같은 기능을 하는 spotlight에서 빠르게 검색이 가능하다고 한다. 구조체의 cmmt 영역에서 얻을 수 있다.
두 번째로는 파일의 타임스탬프 정보이다. 구조체의 modD, moDD 영역에 해당하는 부분인데, 파일의 수정 시간과 관련된 정보를 얻을 수 있다.
세 번째로는 해당 디렉토리의 논리적, 물리적 크기에 대한 정보이다. 구조체의 logS, lg1S, phyS, ph1S 에서 얻을 수 있다.
파일의 변화가 즉각적으로 DS_STORE 파일에 영향을 주기 때문에, 분석하는데에 어려움을 겪을 수도 있다.
참고 : http://www.ylabs.co.kr/index.php?mid=board_mac_forensics&listStyle=viewer&document_srl=30115
'Computer Science% > Forensic' 카테고리의 다른 글
PE 헤더 구조 (0) | 2018.04.06 |
---|---|
Windows Registry (0) | 2018.01.17 |
파일 시그니처 (0) | 2017.10.17 |
인코딩 디코딩 사이트 (0) | 2017.10.14 |
포렌식 문제들 모음 사이트 (0) | 2017.08.31 |