Mac Forensics

[Mac Forensics] Mac 아티팩츠 분석 (03)

도깬리 2023. 11. 4. 06:43

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Mac 아티팩츠 3번째 시간입니다. 모두 화이팅하세요!!!

 

Mail Application v6

Standard Mailbox Access Protocols 입니다.

메일은 POP이나 IMAP으로 수신합니다.

2개의 프로토콜은 SSL 연결로 암호화 되었을 겁니다.

iCloudIMAP을 기본으로 합니다.

 

Standard Mailbox Sending Protocols

메일은 SMTP로 송신합니다.

SMTPSSL 연결로 암호화 가능합니다.

iCloud는 보안 SMTP를 기본으로 합니다.

 

Microsoft Exchange Server 2007 or Newer Supported

메일은 Exchange Web Services 프로토콜에 의존합니다.

iCalendar 파일은 WebDav 서버에 존재합니다.

 

Library > Mail > V2

애플의 메일은 Mail 디렉토리 내부의 사용자 디렉토리안에 존재합니다.

V2 폴더 안에서 모든 사용자 계정이 발견될 것 입니다.

각각의 계정별 디렉토리 안에는 추가적인 .mbox 디렉토리가 존재할 것 입니다.

Messages 디렉토리가 발견될 때 까지 하위 폴더로 계속 내려가 조사해야 합니다. 해당 디렉토리에는 개별 메시지가 포함되어 있을 겁니다.

각 메일에서 다운로드된 첨부파일은 Mail Downloads 폴더에서 발견될 수 있습니다.

 

 

Library > Mail > V2 > Mail Data > Accounts.plist

Account.plist는 조사 대상 컴퓨터에 등록된 메일 계정을 찾기 위한 좋은 아티팩츠 입니다.

.plist 파일에는 사용자 이름, 계정 유형, 계정의 경로가 포함되어 있습니다.

 

 

Library > Containers > com.apple.mail > Data, Library > Preferences > com.apple.mail.plist

메일은 해당 어플리케이션 내부에 완성된 마지막 검색어를 기록해 둡니다.

다음의 키를 찾아야 합니다.

- SGTMailSuggestionsearchField

검색어는 연대순(in chronological order)으로 나열되어 있습니다.

여기에서, 0값이 가장 마지막 검색어입니다.

 

 

Library > Mail > V2 > MailData > Envelope Index

Envelope IndexMail 어플리케이션 내부의 이메일에 관한 데이터를 포함하고 있으며, SQLite DB 파일 형태입니다.

DB Browser for SQLite 3 또는 4 버전 <-- Yesemite에서 잘 동작합니다.

이메일이 위치하며, 첨부파일과 추가적인 정보를 포함합니다.

이메일에 관한 메타데이터를 갖고 있으며, Mail 어플리케이션 내부의 빠른 검색을 지원합니다.

위 데이터베이스에는 현재 살아 있는 이메일에 관한 정보를 보관하도록 설계되어 있으나, 삭제된 메시지에 관한 정보가 남아 있을 수도 있습니다.

 

 

Envelop Index에는 수많은 테이블이 존재하는데, 관심을 갖고 조사해야 할 테이블은 다음과 같습니다.

- addresses

- attachments

- mailboxes

- messages

- subjects

 

 

Library > Mail > V2 > MailData > Envelop Index

addresses 테이블에는 이메일 주소와 관련된 이메일의 이름이 포함합니다.

 

 

attachments 테이블에는 각 첨부파일의 이름과 message ID를 포함합니다.

 

 

Mailbox 테이블에서는 로컬 메일박스의 경로와 계정명, 모든 등록된 RSS 피드를 보여줍니다.

 

 

Message 테이블에는 각각의 이메일에 대한 다음과 같은 다양한 정보가 포함되어 있습니다.

- Message ID

- 송수신 날짜, 만든 날짜

- 마지막으로 열람한 날짜

- 메시지 내용 일부 (Message content snippet)

 

 

Subjects 테이블에는 이메일의 제목 라인이 저장되어 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)

 

저작자표시 비영리 변경금지

'Mac Forensics' 카테고리의 다른 글

[Mac Forensics] Mac 아티팩츠 분석 (05)  (0) 2023.11.09
[Mac Forensics] Mac 아티팩츠 분석 (04)  (0) 2023.11.07
[Mac Forensics] Mac 아티팩츠 분석 (02)  (0) 2023.11.02
[Mac Forensics] Mac 아티팩츠 분석 (01)  (0) 2023.10.29
[Mac Forensics] Mac에서의 키워드 검색 (02)  (0) 2023.10.27

'Mac Forensics'의 다른글

  • 현재글[Mac Forensics] Mac 아티팩츠 분석 (03)

관련글

댓글

티스토리툴바