[AXIOM] 모바일 아티팩츠 분석기능 (2)

안녕하세요. 도깬리 포렌식스 입니다.

날씨가 화창하네요. 오늘은 AXIOM으로 iTunes Backup 데이터에 대한 분석기능을 알아 보겠습니다. 모두 화이팅 하세요!!!

 

 

iTunes Backup

iOS 디바이스는 PC에 백업 데이터를 남길 수 있습니다.

iTunes 백업이라고 불리며, 어느 특정 시점의 iOS 디바이스의 사본으로 간주할 수 있습니다.

포렌식 조사자가 iOS 디바이스에서 확보한 자료는 모두 백업되었다면 그 백업 데이터에서도 동일하게 확인할 수 있습니다.

iOS 디바이스의 경우, 과거에 저장한 백업을 PC에서 찾는 것이 매우 중요합니다.

 

iTunes로 생성한 iOS 백업의 저장 위치

\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup\

 

백업본이 파일시스템에서 사용자 프로파일 아래에 위치하기 때문에, 윈도우 사용자가 여러 명 이었다면 동일한 디바이스에서 여러 명의 백업본을 찾을 수도 있습니다.

 

\Backup\폴더 아래에는 백업된 각 특정 디바이스에 대한 하위 폴더가 존재하며 아래와 같이 몇 가지 특징이 있습니다.

- UDID로 목록화 되어 있습니다

- UDID는 여러 번에 걸쳐 목록화 되어 있을 수도 있습니다.

- 24시간 날짜 시간 값이 추가되어 있을 것 입니다.

- 이것은 iTunes의 과거 버전으로 수행된 백업이거나 완전한 백업이 아닐 수도 있습니다.

 

디바이스의 UDID로 명명된 폴더의 아래에는 alphanumeric 형태의 이름으로 된 다양한 파일이 발견됩니다.

- 이들 파일은 확장자가 없습니다

- 이것은 iOS 디바이스에 속한 것임을 나타냅니다.

- 이것은 원래의 디바이스와 관련하여 그 경로를 SHA1으로 해싱한 것이다.

- 즉 파일의 그 자체를 해싱한 것이 아닙니다.

 

Apple은 전체 경로를 저장하지 않고, “Domains”의 목록을 바로가기로 이용합니다.

사용되는 도메인은 다음과 같습니다.

- AppDomain-com.some.user.installed.app

- CameraRollDomain

- DatabaseDomain

- HomeDomain

- KeychainDomain

- ManagedPreferencesDomain

- MediaDomain

- MobileDeviceDomain

- RootDomain

- SystemPreferencesDomain

- WirelessDomain

 

경로정보로 해시값을 계산하는 예제 (sms.db)

이것은 애플 디바이스에서 iMessages, SMS, MMS 메시지를 포함하는 데이터베이스입니다.

디바이스에서의 전체 경로는 다음과 같습니다.

/private/var/mobile/Library/SMS/sms.db

 

백업에서는 HomeDomain-Library/SMS/sms.db로 표시됩니다.

sms.db 파일에 대한 SHA1 해시값을 계산하면 3d0d7e5fb2ce288813306e4d4636395e047a3d28 입니다.

즉, HomeDomain-Library/SMS/sms.db = 3d0d7e5fb2ce288813306e4d4636395e047a3d28 인 셈입니다.

 

도메인으로 된 모든 경로의 전체 목록은 iOS 9 이하의 경우에는 Manifest.mbdb 파일에서 발견됩니다.

이 경우, 경로가 텍스트 형태로 저장되어 있습니다.

 

iOS 10이 출시되면서 Apple은 .mbdb 파일에서 Manifest.db라는 SQLite 데이터베이스로 전환되었습니다.

SHA1 으로 이름 지어진 파일 이외에도, 애플 디바이스를 백업한 컴퓨터에는 .plist 파일(property list)이 존재합니다.

 

다음 3개의 plist 파일은 백업된 디바이스에 대한 정보를 갖고 있습니다.

- Manifest.plist

- Status.plist

- Info.plist

이들 3개의 파일은 디바이스 자체에는 존재하지 않으나 백업되었을 때의 기기 이름, IMEI, UDID와 같은 디바이스에 대한 중요한 정보를 포함합니다.

 

Info.plist

Info.plist는 포렌식 조사자가 관심을 가질 만한 대부분의 정보를 갖고 있습니다.

- Device Name

- Display Name

- GUID

- ICCID

- IMEI

- Last Backup Date

- Phone Number

- Product Type

- Product Version (iOS version)

- Serial Number

- UDID

- iTunes Version

- List of Installed Applications

- List of Applications in Library

 

Manifest.plist

XML 포맷으로 된 Info.plist와는 달리 바이너리 plist 파일입니다.

다음과 같은 정보를 포함합니다.

- 백업이 암호화 되었는지 여부

- 디바이스의 UDID

- 패스코드가 디바이스에서 활성화 되었는지 여부

 

Status.plist

다음과 같은 정보를 포함합니다.

- UDID

- 백업의 상태

- Full backup 인지 여부

 

SHA1 으로 이름 지어진 파일은 바로 열어볼 수 있습니다. 그러나 파일의 확장자는 존재하지 않습니다. 헥사 에디터에서 보면 모든 파일의 헤더 정보는 실제로 존재하는 각각의 파일 유형과 일치할 것 입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)