私的メモ:FileVaultによるトラブルの解析のために
id:traceさんの『FileVaultの動作と 不具合』の「お願い」に答えてあげたくて、でも所詮オレもマカーなのでうんうん唸っていた(笑 んだけど。
ふとした思いつき&随分と突飛なことを言ってるんで、以下あまり当てにしないように。ごめん>t_traceさん
「最近実行された コマンド のログを読む方法」の方は置いといて、「ファイルの作成日付の表示」の方にComputer Forensicの手法を使ってみるってのはどうだろう?
いや、ふとね、作成時刻とか修正時刻とかどのファイルがどう変わったのかとかが知りたい訳で、そーゆーのの解析にComputer Forensicのツールって役立つんじゃないかと。
別にインシデント・レスポンスの為じゃないけど単なるトラブル解析に使ったっていいんじゃないかと。
んで、以下、役に立ちそうな情報の単なる列挙。
ちゃんと力になれずすまぬ。>t_traceさん
- とりあえず理解のために、Cake Off & port139mlの 2003/05/18の「ふぉれんじっく」の会の資料群
- ツール群:The Sleuth Kit, Autopsy, mac-robber(www.sleuthkit.org Projects)
- 上のツール群をMac OS Xで使う例が載ってる * MS Word 形式 * の資料について。>参照:[Macsec] Mac OS X Forensics Paper Available
たったコレだけって相当アレな気もするけど...。まぁとりあえず。
で、上記のツールを使ったこともないのに妄想すると、FileVaultのオン/オフで変わるであろう/User/UserName/Librariesや/User/UserName/Preference, もしくは/User/UserName以下を、mac-robberでファイルに関する時刻を取得して、timelineを生成して、それを眺めるだけでも何か解るんじゃないかと。
ど、どんなもんだろう?(汗