Les événements Apple FSEvents peuvent grandement aider pour une investigation numérique approfondie. Ceux-ci enregistrent les différentes opérations sur les différents fichiers gérés par le système macOSX.
Les événements FSEvents ou Évènements sur le Système de Fichiers sont des événements de modification, de création, de suppression des fichiers et des dossiers qui se produisent sur un volume monté sous macOS. Comme le souligne Nicole Ibrahim sur son blog : « On peut les comparer à ceux du journal $UsnJrnl du système de fichier NTFS utilisé par Windows » [1].
La génération de ces évènements se fait à l'aide du démon fseventd contenu dans le répertoire /System/Library/Frameworks/CoreServices.framework/Versions/A/Frameworks/FSEvents.framework/Versions/A/Support/ du système macOS, qui est lancé au démarrage par « launchd »(premier processus lancé par le système).
Toute attaque informatique réussie se doit de supprimer ses traces. En utilisant ces artefacts, on peut obtenir une preuve de la présence d'un binaire.
L'analyse de ces journaux peut permettre d'obtenir le chemin complet, les différentes dates de création, de modification ou bien de...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
