안녕하세요. 도깬리 포렌식스 입니다.
일요일 아침이네요. 오늘도 아이폰의 아티팩츠를 살펴 봅니다. 구형 아이폰(아이폰4)를 기준으로 한 것임을 참고하시기 바랍니다.
Organizer 오그나이저
Calendar와 Note 데이터베이스에서 정보를 수집하여 여기에 저장하여 둔 것입니다.
Raw Data\HomeDomain\Library\Calendar
Raw Data\HomeDomain\Library\Notes
Organizer의 Events와 Notes는 각각 Calendar와 Notes 데이터베이스의 내용을 파싱하여 보여주는 것입니다.
Calendar 제목 뿐만 아니라, 아래와 같이 Google calendar 라는 것도 인식할 수 있다.
Calendar와 관련하여 주의해야 할 점은 타임존 설정에 관한 문제이다. 즉, Calendar의 경우 해당 iOS의 메인 시스템과는 다르게 상이한 타임존을 가질 수도 있습니다.
HomeDomain\Library\Preferences\com.apple.mobilecal.plist\ViewedTimeZone
통화 기록
아래 경로의 데이터를 파싱(parsing)하여 Call Log에 저장해 둔 것입니다.
Raw Data\WirelessDomain\Library\CallHistory\call_history.db
Facetime 뿐만 아니라 일반 통화도 포함됩니다.
Facetime 의 경우, 특정 전화번호로 이루어진 통화내역이 제3자의 이메일 주소로 제공되기도 합니다.
연락처
AddressBook.sqlite의 여러 테이블에서 모은 정보를 파싱하여 Contacts 에서 보여주는 것입니다.
주요 테이블
- ABPerson : 연락처 이름, 생일 등, ROWID 값
- ABMultiValue : 연락처 이메일 주소, 전화번호 등
- ABMultiValueLabel
- ABMultiValueEntry
- ABMultiValueEntryLabel
- ABRecnt
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
| [EnCase] EnCase로 구형 아이폰 분석하기 (6) (0) | 2022.05.27 |
|---|---|
| [EnCase] EnCase로 구형 아이폰 분석하기 (5) (0) | 2022.05.24 |
| [EnCase] EnCase로 구형 아이폰 분석하기 (3) (0) | 2022.05.19 |
| [EnCase] EnCase로 구형 아이폰 분석하기 (2) (0) | 2022.05.17 |
| [EnCase] EnCase로 구형 아이폰 분석하기 (1) (0) | 2022.05.15 |