Mac Forensics

[Mac Forensics] Mac 아티팩츠 분석 (07)

도깬리 2023. 11. 13. 06:13

안녕하세요. 도깬리 포렌식스 입니다.

많이 추워졌네요. 오늘은 Mac 아티팩츠 분석 7회차 입니다. 모두 화이팅 하세요!!!

 

Viewing Safari Cache (.db files)

Cache.dbsqlite3 명령어를 터미널에서 사용하여 분석할 수 있습니다.

아래의 그림은 SQLite 명령어를 실행하여 방문하였던 웹사이트의 히스토리를 보는 것 입니다.

 

 

FileJuicer를 이용하면 Safari cache.db 파일을 더 쉽게 볼 수 있습니다.

File Juicer - Extract images from PDF, PowerPoint, Word, Excel and other Files on Windows (echoone.com)

FileJuicer Safari를 포함하여 몇 개 유형의 caches를 파싱하는 기능을 갖고 있습니다.

 

 

FileJuicercache.db 파일을 파싱하고 그 결과물을 파일 유형별로 각각의 폴더에 내보내기 하는 기능도 갖고 있습니다.

즉, SQLite DB를 읽어 들여 파일을 유형별로 추출해 줍니다.

 

 

Library > Cookies (New Format)

Safari CookiesCookies.binarycookies 파일에 저장됩니다.

 

 

Library > Safari > Downloads.plist

Safari를 이용하여 다운로드한 파일에 대한 데이터를 포함합니다.

저장된 파일 경로, 다운로드한 파일 이름과 URL를 확인할 수 있습니다.

 

 

Library > Safari > Lastsession.plist

웹브라우저에서 활성화된 웹사이트에 대한 기록을 확인할 수 있습니다.

여러 개의 탭이 Plist의 다수의 엔트리에 기록되어 있을 겁니다.

사용자의 행위에 맞추어 즉시 갱신되는 데이터 입니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)