.DS-Store

Aus IT-Forensik Wiki

.DS-Store

Der urpsrüngliche Pfad ist im hexdump sichtbar

Seit dem Release von Mac OS X 10.0 (2001) sind diese Dateien in jedem Ordner vorhanden und seit dem Release von Mac OS 10.4 enthalten sie neben Metadaten zu den Dateien, welche sich im gleichen Ordner befinden, auch Informationen der Spotlight-Suche (spezifischer: die sogenannten Spotlight-Comments, welche vom User erstellt werden können). Sie sind vergleichbar mit den Desktop.ini-Dateien oder den Shellbags in Microsoft Windows.

Die .DS-Store Dateien enthalten neben den Dateinamen Informationen über die Ansichtseinstellungen, der Position von Icons, Sortiereinstellungen, Informationen über Fenstergröße und -position sowie andere Metadaten.

Forensich relevant werden .DS-Store-files insbesondere aufgrund zweier Aspekte: Die Angaben zum kompletten Pfad der einzelnen Dateien sind in regulären Ordnern nicht vorhanden. Die Außnahme bildet der .Trash-Folder (Papierkorb).

.DS-Store-files aus dem Papierkorb enthalten neben dem Namen auch den kompletten Pfad der gelöschten Datei (die Information wird zur Wiederherstellunge von Dateien genutzt) und können damit Auskunft über Struktur und Ordernamen eventuell bereits gelöschter Daten geben, auch wenn diese durch mehrfaches Überschreiben oder ähnliche Maßnahmen tatsächlich physikalisch nicht mehr nachweisbar sind.

Außerdem existieren .DS-Store-files nicht automatisch in jedem Ordner. Vorraussetzung ist immer, dass der betreffende Ordner im Finder (also in der GUI) des Users geöffnet wurde. Dazu darf die Ansicht allerdings nicht im "column view" betrachtet werden. Aus dieser Eigenschaft lässt sich ableiten ob der Nutzer Kenntnisse über das Vorhandensein der Dateien gehabt hat und diese Betrachtet hat.

Quellen

https://blog.intelx.io/2019/08/26/apples-ds-store-files-may-leak-filenames/

https://metacpan.org/dist/Mac-Finder-DSStore/view/DSStoreFormat.pod

https://ponderthebits.com/2017/01/mac-dumpster-diving-identifying-deleted-file-references-in-the-trash-ds_store-files-part-1/

https://instatronic.com/category/digital-forensic