https://blog.kakaocdn.net/dn/kIPnD/btqDQsZMFhh/VHz2Krd4EWfjz6DgFOOg3k/img.png

문제를 확인해 보면 용의자의 MacBook을 조사 하려했는데 결국 얻은 데이터는 MacBook의 시스템 로그 뿐이다.

1) 맥북의 모델 OS 버전(10점)

2) iCloud 계정 및 용의자 이름(10점)

3) MacBook과 연결되거나 탑재된 모든 기기 정보(예: 모델, 고유 식별자, 소유자, 방법 등)

4) 앱스토어를 이용한 앱 다운로드(10점)

5) 이메일의 첨부 및 출처(10점)

6) 누군가가 자료를 받은 것 같다. 피의자 및 수신자의 전화 번호 및 이메일 주소(10점)

7) MacBook의 활동을 개괄하고 각 이벤트(행, 키워드 등)를 자세히 설명하는 타임라인을 작성한다. 주요 이벤트는 AirDrop, Facetime, iMessage, Unlock, Mount, Wi-Fi 연결과 관련이 있다. (100점)

1. The MacBook's Model, OS Version

log_show 파일을 열어보면 전부 String 형태로 파일에 기록이 되어 있습니다.

아래를 좀 살펴보면 654번 줄 이후의 로그에서 블루투스로 연결된 기기 이름이 적혀있습니다.

2019-04-29 11:16:09.839896+0900 0x2fa      Default     0x0                  96     3    bluetoothd: (IOBluetooth) [com.apple.bluetooth:IOBluetoothDevice] Update serviceMask Jack's AppleWatch 0
2019-04-29 11:16:09.839983+0900 0x2fa      Default     0x0                  96     3    bluetoothd: (IOBluetooth) [com.apple.bluetooth:IOBluetoothDeviceConfigUserLib] AAP Device: Setting ServiceMask to 524424
2019-04-29 11:16:09.840002+0900 0x2fa      Default     0x0                  96     3    bluetoothd: (IOBluetooth) [com.apple.bluetooth:IOBluetoothDevice] Update serviceMask Jack's AirPods 524424
2019-04-29 11:16:09.840019+0900 0x2fa      Default     0x0                  96     3    bluetoothd: (IOBluetooth) [com.apple.bluetooth:IOBluetoothDevice] Update serviceMask Jack's iPad 0
2019-04-29 11:16:09.840044+0900 0x2fa      Default     0x0                  96     3    bluetoothd: (IOBluetooth) [com.apple.bluetooth:IOBluetoothDevice] Update serviceMask Jack's iPhone 0

macbook으로 검색하던 중에 20562줄에서 맥북의 모델인 MacBookPro15 를 발견했습니다.

2019-04-29 11:16:25.204414+0900 0xbc1      Default     0x0                  307    14   routined: (libcoreroutine.dylib) [com.apple.CoreRoutine:GENERAL] system model, com.apple.macbookpro-15-retina-touchid-space-gray-2018, version, 18C54, product, MacBookPro15,1

맥북의 모델은 MacBook Pro 15 입니다.

이제 OS의 버전을 구해보겠습니다.

위에서 version 옆에 18C54 라는 값이 눈에 띄어서 18C54를 검색해 보면 버전을 찾을 수 있습니다.

Violation:       deny(1) iokit-open AppleAPFSUserClient
Process:         coreservicesd [129]
Path:            /System/Library/Frameworks/CoreServices.framework/Versions/A/Frameworks/CarbonCore.framework/Versions/A/Support/coreservicesd
Load Address:    0x1021ef000
Identifier:      coreservicesd
Version:         ??? (???)
Code Type:       x86_64 (Native)
Parent Process:  launchd [1]
Responsible:     /System/Library/CoreServices/coreservicesd [129]
User ID:         0

Date/Time:       2019-04-29 11:16:10.045 GMT+9
OS Version:      Mac OS X 10.14.2 (18C54)
Report Version:  8

OS Version는 Mac OS X 10.14.2 인것을 확인 할 수 있습니다.