LT資料_20190813.pdf

Transcript

1. Mac OS X Bookmark フォーマットの話 Sosuke Tokuda (@stqp)

2. ⾃⼰紹介 • Sosuke Tokuda (@stqp) • インフラ/アプリやってます。 今⽇はMacOSXのBookmarkデータ構造を紹介します。

3. きっかけはMacMRU • MacのMRU収集ツール • https://github.com/mac4n6/macMRU-Parser • 開発者は Mac4n6。リリース記事が2016年に出ています。 • https://www.mac4n6.com/blog/2016/7/10/new-script-macmru-

   most-recently-used-plist-parser • Plist、ShareFileList を探して中⾝を解析するツールです。 • その際 Bookmark Data を解析してMRU情報を抽出しています。
4. None

5. 処理対象のファイルパス

6. 処理結果

7. Blobに関するボリューム情報

8. blobに関連するファイルのパス blobに関連するファイルの作成時刻

9. What is Bookmark Data? • Plist、ShareFileListファイルに含まれるバイナリデータ • ※当スライドではblobと呼ぶことにします • 例えば最近開いたファイルのパスなどが含まれています。

   • 公式の仕様は分かりません（少なくとも調べた感じだと..）。 • 誰かが頑張ってリバースエンジニアリングしてくれています。 • https://github.com/al45tair/mac_alias/blob/master/doc/bookm ark_fmt.rst

10. Bookmark Format ※ ()の中はバイト数 ヘッダー (48) ボディー

11. Header ボディー マジック (4) 総合サイズ (4) Unkown (4) ヘッダサイズ (4)

    ※ ()の中はバイト数

12. Header ボディー マジック (4) 総合サイズ (4) Unkown (4) ヘッダサイズ (4)

    予約 (32) ※ ()の中はバイト数

13. Body ヘッダー(48) TOCオフセット(4) ※ ()の中はバイト数

14. Body ヘッダー(48) TOCオフセット(4) TOC ① ※ ()の中はバイト数

15. Body ヘッダー(48) TOCオフセット(4) TOC ① TOC ② TOC ③ ※

    ()の中はバイト数

16. What is TOC? • Table Of Content の略 • Bookmarkの実データを管理するためのテーブル

    • テーブルはエントリーへの参照を保持しています。 • そしてエントリーは実データへの参照を保持しています。

17. TOC Structure ヘッダー(48) TOC TOC Entry① ※ ()の中はバイト数 TOC Entry②

    Data Data

18. TOC TOCサイズ(4) マジック(4) ※ ()の中はバイト数 識別⼦(4) 次のTOCへの オフセット(4) TOC Entry総数(4)

    TOC Entry キー(4) 実データへの オフセット(4) 予約(4)

19. TOC Entry Data ※ ()の中はバイト数 Dataサイズ(4) Dataタイプ(4) Data データタイプはさまざま。 •

    ⽂字列 • バイト • 数値 • ⽇付 • 配列（etc）

20. So How to Parse Bookmark? Use this. ・オリジナル https://github.com/al45tair/mac_alias/blob/master/mac_alias /bookmark.py

    ・理解しやすく⾃分で書き直した版 https://github.com/stqp/mac-mru/blob/master/bookmark.py

21. End