안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Mac 아티팩츠 분석 5회차입니다. 모두 화이팅 하세요!!!
Safari 10.4.10+
Safari V3는 SQLite .db 포맷의 도입으로 말미암하 캐싱하는 새로운 방식을 시도하였습니다.
대부분의 사파리 데이터는 다음 4개의 경로에서 발견됩니다.
~/Library/Safari/
~/Library/Caches/com.apple.Safari/
~/Library/Caches/Metadata/
~/Library/Preferences/com.apple.Safari.plist
Library > Safari (v6)
- Bookmarks.plist
특정 사용자의 북마크를 포함합니다.
- Download.plist
특정 사용자가 다운로드한 파일의 이력을 포함합니다. 다만 관련 이력이 비어있을 수도 있습니다.
- History.plist
URL 브라우징 히스토리입니다.
- Last Session.plist
Safari에서 마지막으로 원도우가 오픈한 정보를 갖고 있습니다.
- TopSites.plist
사용자가 가장 빈번하게 열람한 웹사이트를 기록하여 둔 곳입니다.
Library > Safari > TopSites.plist
Safari (v4~v8)는 ‘Coverflow’를 사용하며, 사용자의 방문 빈도가 높은 순서로 10개의 웹사이트를 보여줍니다.
다음의 정보를 포함하여 TopSites.plist에 저장합니다.
- Last Modified Date
- URL for the site
- Tile of the site
Library > Safari > History.plist
인터넷 히스토리 정보를 포함한 plist 파일입니다.
URL, Title of page, Last Visited Date 정보를 포함합니다.
Library > Caches > Metadata > Safari > History
.webhistory 라는 확장자를 갖는 파일 안에 인터넷 히스토리가 저장됩니다.
파일의 내용은 QuickLook을 이용하여 쉽게 열람 가능합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Mac 아티팩츠 분석 (07) (0) | 2023.11.13 |
|---|---|
| [Mac Forensics] Mac 아티팩츠 분석 (06) (0) | 2023.11.11 |
| [Mac Forensics] Mac 아티팩츠 분석 (04) (0) | 2023.11.07 |
| [Mac Forensics] Mac 아티팩츠 분석 (03) (0) | 2023.11.04 |
| [Mac Forensics] Mac 아티팩츠 분석 (02) (0) | 2023.11.02 |