EnCase

[EnCase] EnCase로 구형 아이폰 분석하기 (5)

도깬리 2022. 5. 24. 06:26

안녕하세요. 도깬리포렌식스 입니다.

오늘도 계속하여 iOS의 아티팩츠에 대하여 이어가겠습니다. 예제는 아이폰 4입니다. 구형 아이폰 이므로 최신 아티팩츠와는 다소 차이가 있음을 감안하시기 바랍니다. 

 

SMS, iMessage로 받은 메시지

Raw Data\HomeDomain\Library\SMS\sms.db에서 파싱을 합니다.

 

 

HomeDomain\Library의 기타 artifacts

Keyboard

키보드로 입력된 단어를 저장합니다.

- dynamic-text.dat : 영문 입력

- ko-kO-dynamic-text.dat : 한글 입력

- UserDictionary.sqlite

- UserDictionaryWordKeyPairs.plist

 

 

WebKit\Database\https_mail.google.com_0

웹사이트를 통해 장치에 저장된 정보(web-app)가 확인됩니다.

) Safari를 통해 접근한 Google Mail

웹사이트마다 구조가 다양하기 때문에, 테스트와 검증을 통해 iOS 장치와 데이터베이스 간의 기능을 확인할 필요가 있습니다.

 

Cached_conversation-headers 테이블

웹 기반 편지함에 들어 있는 메시지의 순서가 확인됩니다.

 

cached_messages 테이블

이메일 메시지가 저장됩니다.

- address_to

- address_from

- snippetHTML : 이메일 메시지의 내용이 확인됩니다.

- body : 전체 메시지가 확인됩니다.

 

 

SpringBoard

홈 스크린(Main User Interface)과 설치된 App에 대한 사용자의 설정 사항을 확인 가능합니다.

 

LockBackgroundThumbnail.jpg

잠금 스크린에 사용된 배경화면입니다.

 

IconState.plist

iconLists

사용자가 접근한 App을 포함하는 페이지(홈 스크린)에 관한 정보입니다.

해당 페이지에서 볼 수 있는 App에 대한 상세 사항을 알 수 있습니다.

 

buttonBar (Dock)

Dock 에 포함된 항목과 순서를 확인 가능합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics