안녕하세요. 도깬리 포렌식스 입니다.
많이 추워졌네요. 오늘은 Mac 아티팩츠 분석 7회차 입니다. 모두 화이팅 하세요!!!
Viewing Safari Cache (.db files)
Cache.db는 sqlite3 명령어를 터미널에서 사용하여 분석할 수 있습니다.
아래의 그림은 SQLite 명령어를 실행하여 방문하였던 웹사이트의 히스토리를 보는 것 입니다.
FileJuicer를 이용하면 Safari cache.db 파일을 더 쉽게 볼 수 있습니다.
FileJuicer는 Safari를 포함하여 몇 개 유형의 caches를 파싱하는 기능을 갖고 있습니다.
FileJuicer는 cache.db 파일을 파싱하고 그 결과물을 파일 유형별로 각각의 폴더에 내보내기 하는 기능도 갖고 있습니다.
즉, SQLite DB를 읽어 들여 파일을 유형별로 추출해 줍니다.
Library > Cookies (New Format)
Safari Cookies는 Cookies.binarycookies 파일에 저장됩니다.
Library > Safari > Downloads.plist
Safari를 이용하여 다운로드한 파일에 대한 데이터를 포함합니다.
저장된 파일 경로, 다운로드한 파일 이름과 URL를 확인할 수 있습니다.
Library > Safari > Lastsession.plist
웹브라우저에서 활성화된 웹사이트에 대한 기록을 확인할 수 있습니다.
여러 개의 탭이 Plist의 다수의 엔트리에 기록되어 있을 겁니다.
사용자의 행위에 맞추어 즉시 갱신되는 데이터 입니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Mac 아티팩츠 분석 (09) (0) | 2023.11.19 |
|---|---|
| [Mac Forensics] Mac 아티팩츠 분석 (08) (0) | 2023.11.16 |
| [Mac Forensics] Mac 아티팩츠 분석 (06) (0) | 2023.11.11 |
| [Mac Forensics] Mac 아티팩츠 분석 (05) (0) | 2023.11.09 |
| [Mac Forensics] Mac 아티팩츠 분석 (04) (0) | 2023.11.07 |