3

Недавно у нас украли программный ключ USB, содержащий очень дорогое программное обеспечение. Если мы сможем выяснить, в какую дату / время это было сделано за последние 3 недели, мы, вероятно, сможем определить, кто это сделал. Сохраняет ли OS X логи удаленных USB-устройств и, если да, как мы можем получить к ним доступ?

1 ответ1

3

Это может быть полезно, но вы должны использовать терминал. Мы будем искать правильные даты в файле системного журнала. После того, как мы нашли первый удар, мы продолжаем исследовать, какой у него USB-идентификатор.

Прежде всего, откройте терминал из центра внимания или Приложения / Утилиты / Terminal.app

Переключиться в каталог журналов:

$ cd /var/log

Проверьте текущий файл журнала после даты, предшествующей краже устройства.

$ head system.log

Если дата или время не верны, продолжайте анализировать старые файлы. Первая команда показывает количество файлов журнала, которые начинаются с имени "система". И после того, как вы узнали, сколько у вас файлов, вы должны сделать то же самое, что и раньше. Проверьте правильность даты с помощью другой команды.

$ ls -a system*
$ bzcat system.log.xx.bz2 | head

После того, как вы выяснили правильные файлы журнала, продолжайте проверять время.

Хорошо, теперь вы нашли правильный файл на правильную дату. Попробуем найти правильный номер идентификатора.

$ bzcat system.log.xx.bz2 | grep USBMSC

Вывод должен быть легким для понимания, как этот.

Jun 23 10:59:09 kernel[0]: USBMSC Identifier (non-unique): XXXXXXXXXXXXXXXXXXXXXX

Если вы считаете, что нашли USB-идентификатор, убедитесь, что он правильный, прежде чем предполагать, кто его украл.

Используйте ту же команду, что и раньше, и попытайтесь найти этот идентификатор в новых файлах журналов с помощью этой команды.

$ bzcat system.log.xx.bz2 | grep XXXXXXX ( the usb identifier number ) 

Вы не сможете найти никаких результатов, но, вероятно, в старых файлах, если вы использовали устройство USB более одного раза.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .