Desktop Services Store 의 약자로 , 애플에서 정의한 파일 포맷입니다.

애플의 맥OS X 시스템이 폴더에 접근할 때 생기며, 해당 폴더에 대한 메타데이터를 저장하는 파일입니다. 즉, mac의 finder로 폴더에 접근하면 자동으로 생기는 파일입니다. 여기서 메타데이터는 해당 디렉토리의 특성, 구조 등에 관한 내용을 말합니다.

.DS_store 파일은 프로젝트와 하등 관련없는 파일로 ,윈도우의 thumb.db 파일과 비슷하다고 볼 수 있습니다. 맥에서 생성되지만, 파일을 공유하는 괴정에서 종종 공유되기도 한다고 합니다.

하지만, 포렌식적 관점에서 유용하게 사용될 수 있다고도 합니다. 유용하게 사용될 수 있는 정보들은 다음과 같다고 하네요.

1) spotlight comment 정보 : mac에서는 파일에 원하는 태그를 걸면, 파일탐색기와 같은 기능을 하는 spotlight에서 빠르게 검색이 가능하다. 구조체의 cmmt 영역에서 얻을 수 있다.

2) 파일의 타임스탬프 정보 : 구조체의 modD, moDD 영역에 해당하는 부분인데, 파일의 수정 시간과 관련된 정보를 얻을 수 있다.

3) 해당 디렉토리의 논리적, 물리적 크기에 대한 정보 : 구조체의 logS, lg1S, phyS, ph1S 에서 얻을 수 있다.

파일의 변화가 즉각적으로 DS_STORE 파일에 영향을 주기 때문에, 분석하는데에 어려움을 겪을 수도 있다고는 하지만 .. 어쨌든 포렌식 관점에서는 유용하다고 합니다. (그래도 저는 지울거에요!)

1) 유틸로 삭제하는 방법도 있겠으나 커맨드로 쉽게 지우는 명령어는 아래와 같습니다.

  sudo find / -type f -name '\.DS_Store' -print -delete

2) ‘.DS_store’를 자동으로 생성되는 것을 원하지 않는 분들은 아래의 명령어를 사용하시는게 좋을것 같습니다.

  defaults write com.apple.desktopservices DSDontWriteNetworkStores ture