[EnCase] EnCase로 구형 아이폰 분석하기 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 아이폰 아티팩츠에 대한 소개를 이어갑니다. 다양한 아티팩츠를 통해 증거분석의 착안사항을 확인합시다.

 

Thumbnails 폴더

장치에 저장된 사진에 대한 Thumbnail을 포함하고, 폴더의 이름은 썸네일의 크기를 의미하며, ithmb 확장자를 갖습니다.

 

DCIM 폴더

Photos.sqlite 데이터베이스와 EXIF에 임베디드된 정보를 사용하면 DCIM 폴더의 실제 사진을 특정할 수 있습니다.

 

‘EXIF GPS Information Reader EnScript’를 사용하면 사진 파일로부터, 위도(Latitude), 경도(Longitude)를 쉽게 추출할 수 있습니다.

 

 

AppDomain

iOS 장치에 설치한 App은 AppDomain에서 확인 가능합니다.

사건과 관련하여 조사할 필요가 있는 App은 그 기능을 직접 테스트하고 검토하는 것이 바람직합니다.

 

 

인터넷 데이터 (Safari)

Raw Data\HomeDomain\Library\Safari\History.plist\WebHistoryDates

Internet Data\URL 아래의 URL1, 2, 3… 값과 직접 연동됩니다.

마지막 방문 일시(lastVistedDates)와 방문 횟수(vistitCount), 웹페이지 제목(title)을 확인할 수 있습니다.

 

 

Raw Data\HomeDomain\Library\Safari\SuspendState.plist

Safari 웹 브라우저에서 (홈 버튼을 이용하여) 마지막으로 나갔거나, iPad가 꺼졌을 때의 Safari 상태에 관한 정보를 포함합니다.

 

SafariStateDocuments 폴더

Safari가 다시 시작되었을 때 사용자가 바로 접근할 수 있는 웹페이지에 관한 정보를 포함합니다.

숫자에 해당하는 만큼의 웹페이지 탭이 존재합니다.

 

SafariStateDocumentTitle

이 페이지가 위치한 Safari 탭에서 보여지는 웹페이지 이름입니다.

 

SafariStateDocumentURL

주소 창에서 보여지는 웹페이지 주소입니다.

 

SarariStateDocumentLastViewedTime

웹페이지를 마지막으로 본 시간과 날짜입니다.

 

SafariStateDocumentBackForwardList 폴더

Forward, Back 버튼으로 접근할 수 있는 웹페이지에 대한 목록을 보여줍니다.

즉 열렸던 웹페이지 탭(SafariStateDocument)에서 얼마나 많은 웹페이지에 접근하였는지를 확인 가능합니다.

숫자에 해당하는 만큼의 웹페이지를 이동 하였음을 의미합니다.

1번이 첫 웹페이지를 의미하고, 마지막 숫자는 마지막으로 접근한 페이지를 의미합니다.

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics