[AXIOM] 모바일 아티팩츠 분석기능 (5)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 AXIOM의 모바일 분석 기능에 대해 알아 봅니다. 모두 화이팅 하세요!!!

 

Mobile Artifacts

 

SQLite and Plist Files

iOS에서 대부분의 아티팩츠는 다음과 같은 2가지 유형의 데이터 파일입니다.

- SQLite database 파일

- Property List 파일

 

대부분의 데이터는 파일시스템 상의 아래 디렉토리에서 발견됩니다.

/private/var/mobile

 

대량의 데이터를 갖고 있는 3개의 하위 디렉토리는 다음과 같습니다.

- /Library/

사용자 데이터를 갖고 있습니다.

- /Media/

카메라롤, 사진, 동영상을 확인할 수 있습니다.

- /Containers/

제3의 어플리케이션 데이터와 주요 어플리케이션 데이터를 포함합니다.

 

iOS 파일 시스템에는 2가지 유형의 Property List 파일이 존재합니다.

 

 

XML 형식 Plist files

조사자가 쉽게 접근할 수 있는 도구로 분석하기가 용이합니다.

일반적인 XML (Extensible Markup Language)로 포맷되어 있습니다.

HTML/XML 코드를 읽을 수 있는 모든 도구로 분석이 가능합니다.

다음과 같은 표준화된 헤더를 갖고 있습니다.

<?xml version=”1,0” encoding=”UTF-8”?>

<!DOCTYPE plist SYSTEM “file://localhost/System/Library/DTDs/ 생략

다음과 같은 표준화된 푸터를 갖고 있습니다.

</plist>

 

Binary 형식 Plist files

인간이 아니라 컴퓨터가 쉽게 읽을 수 있도록 포맷되어 있습니다.

다음과 같이 ASCii로 된 표준 헤더가 있습니다.

bplist00

고정적인 푸터는 없습니다.

바이너리에 저장된 텍스트 데이터를 해석하고 읽기 위해서는 별도의 뷰어가 있어야 합니다.

 

위 2개의 Property List 파일은 텍스트 데이터와 Base-64로 인코딩된 데이터를 저장합니다.

이것들은 base-64 data를 사용하여 다른 property list 파일, 사진, 동영상, 또는 추가적인 텍스트 스토어를 저장합니다.

Binary와 XML plist 파일은 사용자 정보와 과거에 연결된 Wi-Fi 네트워크와 같은 설정 정보를 저장하기 위하여 디바이스 전역에서 폭넓게 이용됩니다.

그것은 사용자 이름, 설치 일시, 마지막으로 열람한 일시 등을 포함하는 각각의 앱에 대한 설정 정보를 저장하기도 합니다.

그것은 또한 백업된 디바이스에 대한 정보를 저장하기 위하여 iTunes/iCloud 백업 프로세스에서 이용될 수도 있습니다.

 

MAC과 iOS 운영체제에서는 Windows와 Windows Mobile 디바이스에서와 같이 레지스트리 파일이 존재하지 않습니다.

그 대신, iOS는 plist files을 레지스트리 파일 또는 개별 어플리케이션 설정 파일처럼 이용합니다.

 

또 하나 널리 사용되는 스토리지 유형은 SQLite 데이터베이스 입니다.

이것은 주요 운영체제와 제3의 어플리케이션에서 정보를 저장하기 위하여 이용됩니다.

Contacts, Call Logs, SMS/iMessages, Email, Web history와 같은 아티팩츠가 SQLite database 내부에 저장됩니다.

SQLite 데이터베이스는 다양한 확장자를 포함하는데, 가령, .db, .storedata, sql, sqlite이며, 때로는 확장자가 없는 것도 있습니다.

이러한 데이터베이스는 ASCii로 “SQLite format 3”라고 되어 있는 해더에 의해 식별 가능합니다.

iOS가 SQLite version 3.7을 이용한다는 것은 그것이 롤백 저널보다 더욱 광범위하게 Wirte-ahead 로그를 사용함을 의미합니다.

따라서 주요 파일시스템에서의 주된 데이터베이스 대신 write ahead log 안에 정보가 저장되어 있을수도 있습니다.

잠재적으로는 삭제된 파일이 여전히 디바이스에 존재할 것이나, 이것도 주요 파일시스템에 접근하기 위하여 만약 사용자가 ‘탈옥’된 디바이스로부터 사용자가 획득할 수 있을 경우에만 이용가능 합니다.

 

Custom Artifacts

AXIOM에서는 SQLite 데이터베이스가 파싱 되지 않을 때, 사용자가 해당 데이터베이스를 읽어 와서 각각의 컬럼에 적절한 값을 할당하여 분석을 가능하게 합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)