안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Mac 아티팩츠 분석 4회차 입니다. 날씨가 추워졌네요. 모두 화이팅 하세요!!!
Mail > Entourage (versions 2004, 2008)
MS Entourage는 메일 어플리케이션으로, Mac용 Office 2004에 최초 포함되었습니다. 이것은 윈도우용 MS Outlook과 유사합니다.
MS Entourage는 메일 메시지를 전용 데이터베이스 파일에 저장하는데, 이것은 Documents 폴더 안에 위치합니다.
이 파일은 3rd 파티 어플리케이션인 Weird Kid software사의 Emailchemy를 이용하여 변환하는 것이 좋습니다.
Emailchemy를 시작하면 MS User 데이터 폴더의 위치를 지정할 것인지 확인하는 단계를 거치게 됩니다.
Convert를 선택한 후, 변환 포맷을 선택하는 옵션을 만나게 됩니다.
새롭게 변환된 이메일을 포함하는 폴더가 생성됩니다.
Library > Caches > Entourage Mail
MS Entourage 메일 메시지는 Library 캐시 안의 하위 디렉토리에서도 발견 될 수 있습니다.
<Username>/Library/Caches/Metadata/Microsoft/…
이러한 파일은 .vRegMessage 확장자를 갖고 있습니다.
이 파일은 TextEdit로 열람 가능합니다.
Library > Caches > Entourage Contacts
MS Entourage 연락처는 Library 캐시 안의 하위 디렉토리에서도 발견 될 수 있습니다.
<Username>/Library/Caches/Metadata/Microsoft/…
이러한 파일은 .vRegContact 확장자를 갖습니다.
이 파일은 .plist 파일이고, Property List Editor로 열어볼 수 있습니다.
Outlook for Mac - ~/Documents/Microsoft User Data/Office 2011 Identities/Main Identity/Data Records/Message Sources
Messages는 Outlook for Mac에서의 인덱싱을 위해 변환될 수 있습니다.
메시지는 사용자의 Documents 폴더에서 찾을 수 있습니다.
메시지에 대한 확장자는 .olk14MsgSource 입니다.
일반적인 텍스트 편집기로 열고 읽을 수 있으며, Emailchemy와 같은 Toolbox 메뉴에서 Advanced Conversion을 클릭하여 변환할 수도 있습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Mac 아티팩츠 분석 (06) (0) | 2023.11.11 |
|---|---|
| [Mac Forensics] Mac 아티팩츠 분석 (05) (0) | 2023.11.09 |
| [Mac Forensics] Mac 아티팩츠 분석 (03) (0) | 2023.11.04 |
| [Mac Forensics] Mac 아티팩츠 분석 (02) (0) | 2023.11.02 |
| [Mac Forensics] Mac 아티팩츠 분석 (01) (0) | 2023.10.29 |