【Mac上USB存储设备使用痕迹】在新版操作系统有所变化

macOS的日志机制不再像过去是text-based仅是存放在日志文件之中，可直接进行查看，而是基于一个所谓”Unified Logging System”。特点在于，其结构特殊且无法以工具直接查看内容。

以下便为各位示范一下，如何以指令查看Mac上的USB存储设备使用痕迹。先插入一只U盘，从系统信息中即可看到其厂牌型号及序列号等信息。

接着再打开命令行，输入搜集日志的指令，如下所示。实时日志便会被归档至特定文件，路径及文件名如下所示。

那要如何从中得知USB存储设备使用痕迹呢？关键词便是“USBMSC”，进行过滤之后即可得到前述那支U盘的使用痕迹了。

那这所谓Unified Log是位于何处呢？如下图所示，就是这些后缀名为. tracev3的文件。以一般应用程序是难以开启及查看内容的。基于取证分析，可以采用如Magnet AXIOM等工具以有效查看相关内容。

【编者注】小编没有苹果设备，故未做验证。

作者：Pieces0310，转自：信息时代的犯罪侦查

间谍软件PegASUS无需用户接触即可窃听iOS设备中的信息

本文始发于微信公众号（电子物证）：【Mac上USB存储设备使用痕迹】在新版操作系统有所变化