我们工作室最近有一个 USB 软件加密狗被盗,里面装有非常昂贵的软件。如果我们能找出过去 3 周内被盗的日期/时间,我们大概就能确定是谁干的。OS X 会保留已移除 USB 设备的日志吗?如果会,我们如何访问它们?
答案1
这可能很有用,但你必须使用终端。我们将在系统日志文件中查找正确的日期。找到第一个匹配项后,我们继续调查它具有的 USB 标识符号。
首先从 Spotlight 或 Applications/Utilities/Terminal.app 打开终端
通过以下方式切换到日志目录:
$ cd /var/log
检查设备被盗之前日期之后的当前日志文件。
$ head system.log
如果日期或时间不正确,则继续分析旧文件。第一个命令会显示有多少个以名称“system”开头的日志文件。找出有多少个文件后,您必须执行与之前相同的操作。使用另一个命令检查日期是否正确。
$ ls -a system*
$ bzcat system.log.xx.bz2 | head
找到正确的日志文件后继续检查时间。
好的,现在您已找到正确日期的正确文件。让我们尝试找到正确的识别号。
$ bzcat system.log.xx.bz2 | grep USBMSC
输出应该像这样很容易理解。
Jun 23 10:59:09 kernel[0]: USBMSC Identifier (non-unique): XXXXXXXXXXXXXXXXXXXXXX
如果您认为您已经找到了 USB 标识符,请在假设是谁偷了它之前,请确保检查它是否正确。
使用与之前相同的命令,并尝试通过此命令在较新的日志文件中找到相同的标识符
$ bzcat system.log.xx.bz2 | grep XXXXXXX ( the usb identifier number )
如果您多次使用 USB 设备,则应该无法找到任何结果,但可能在较旧的文件中找到。