.DS-Store: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „==.DS-Store== Seit dem Release von Mac OS X 10.0 (2001) sind diese Dateien in jedem Ordner vorhanden und seit dem Release von Mac OS 10.4 enthalten sie neben M…“) |
Keine Bearbeitungszusammenfassung |
||
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
==.DS-Store== | ==.DS-Store== | ||
[[Datei:Ds-store from trash.png|mini|Der urpsrüngliche Pfad ist im hexdump sichtbar]] | |||
Seit dem Release von Mac OS X 10.0 (2001) sind diese Dateien in jedem Ordner vorhanden und seit dem Release von Mac OS 10.4 enthalten sie neben Metadaten zu den Dateien, welche sich im gleichen Ordner befinden, auch Informationen der Spotlight-Suche (spezifischer: die sogenannten Spotlight-Comments, welche vom User erstellt werden können). | Seit dem Release von Mac OS X 10.0 (2001) sind diese Dateien in jedem Ordner vorhanden und seit dem Release von Mac OS 10.4 enthalten sie neben Metadaten zu den Dateien, welche sich im gleichen Ordner befinden, auch Informationen der Spotlight-Suche (spezifischer: die sogenannten Spotlight-Comments, welche vom User erstellt werden können). | ||
Sie sind vergleichbar mit den Desktop.ini-Dateien oder den Shellbags in Microsoft Windows. | Sie sind vergleichbar mit den Desktop.ini-Dateien oder den Shellbags in Microsoft Windows. | ||
Zeile 13: | Zeile 15: | ||
==Quellen== | ==Quellen== | ||
https:// | https://blog.intelx.io/2019/08/26/apples-ds-store-files-may-leak-filenames/ | ||
https://metacpan.org/dist/Mac-Finder-DSStore/view/DSStoreFormat.pod | |||
https://ponderthebits.com/2017/01/mac-dumpster-diving-identifying-deleted-file-references-in-the-trash-ds_store-files-part-1/ | |||
https://instatronic.com/category/digital-forensic | https://instatronic.com/category/digital-forensic |
Aktuelle Version vom 28. Juli 2021, 19:35 Uhr
.DS-Store
Seit dem Release von Mac OS X 10.0 (2001) sind diese Dateien in jedem Ordner vorhanden und seit dem Release von Mac OS 10.4 enthalten sie neben Metadaten zu den Dateien, welche sich im gleichen Ordner befinden, auch Informationen der Spotlight-Suche (spezifischer: die sogenannten Spotlight-Comments, welche vom User erstellt werden können). Sie sind vergleichbar mit den Desktop.ini-Dateien oder den Shellbags in Microsoft Windows.
Die .DS-Store Dateien enthalten neben den Dateinamen Informationen über die Ansichtseinstellungen, der Position von Icons, Sortiereinstellungen, Informationen über Fenstergröße und -position sowie andere Metadaten.
Forensich relevant werden .DS-Store-files insbesondere aufgrund zweier Aspekte: Die Angaben zum kompletten Pfad der einzelnen Dateien sind in regulären Ordnern nicht vorhanden. Die Außnahme bildet der .Trash-Folder (Papierkorb).
.DS-Store-files aus dem Papierkorb enthalten neben dem Namen auch den kompletten Pfad der gelöschten Datei (die Information wird zur Wiederherstellunge von Dateien genutzt) und können damit Auskunft über Struktur und Ordernamen eventuell bereits gelöschter Daten geben, auch wenn diese durch mehrfaches Überschreiben oder ähnliche Maßnahmen tatsächlich physikalisch nicht mehr nachweisbar sind.
Außerdem existieren .DS-Store-files nicht automatisch in jedem Ordner. Vorraussetzung ist immer, dass der betreffende Ordner im Finder (also in der GUI) des Users geöffnet wurde. Dazu darf die Ansicht allerdings nicht im "column view" betrachtet werden. Aus dieser Eigenschaft lässt sich ableiten ob der Nutzer Kenntnisse über das Vorhandensein der Dateien gehabt hat und diese Betrachtet hat.
Quellen
https://blog.intelx.io/2019/08/26/apples-ds-store-files-may-leak-filenames/
https://metacpan.org/dist/Mac-Finder-DSStore/view/DSStoreFormat.pod