[Mac Forensics] Mac 아티팩츠 분석 (08)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Mac 아티팩츠 분석 8회차 입니다. 모두 화이팅 하세요!!!

 

Safari & Private Browsing Option

시크릿 모드, 개인정보 보호 모드에 관한 것 입니다.

TopSites.plist는 갱신되지 않습니다.

LastSession.plist는 갱신되지 않습니다.

History.plist는 갱신되지 않습니다.

Cache.db는 개인정보 모드에서 나갈때 지워집니다.

이 옵션이 설정되어 있는지 Safari.plist 파일을 보고 확인하여야 합니다.

저장경로는 user/Library/Preferences/com.apple.Safari.plist 입니다.

 

 

 

Examining Firefox

Firefox는 여전히 Mac 에서 가장 흔히 사용하는 브라우저 중 하나이고, crossplatform 입니다.

2015년 11월 현재 Firefox는 1.7% 정도이며, 사용량이 Safari에 비해 떨어집니다.

Mac 에서의 파이어폭스 해시값을 절차가 진행하는 도중에 확인할 수 있습니다.

 

 

 

Identify Verion of Firefox

파이어폭스의 버전은 다음의 위치에서 확인합니다.

Application/Firefox/Contents/info.plist

증거 이미지를 조사관의 워크스테이션으로 복사하여야 합니다.

 

 

 

Examining Firefox

/<users>/Application Support/Firefox/ 의 컨텐츠를 복사하여야 합니다.

/<users>/Library/Caches 아래에 발견되는 것을 주목하여야 합니다.

조사자의 분석용 시스템에 Firefox를 무결하게 설치하여야 합니다.

조사자의 시스템에서 몇몇 폴더와 파일을 삭제합니다.

삭제된 디렉토리와 파일을 혐의자의 컴퓨터에서 조사자가 복사한 것으로 대체합니다.

Firefox를 시작하기 전에 반드시 인터넷과 단절시켜야 합니다.

 

 

 

Examining Firefox – Library > Application Support

사용자 디렉토리 아래 /Library/Application Support 아래에는 Firefox에 주목해야 할 또 다른 항목들이 존재합니다.

이들 항목 중 대부분의 것은 Text viewer, SQLite viewer, Firefox로 열람 가능합니다.

- Bookmarksbackups 폴더

- Cookies.sqlite

- Downloads.sqlite

- search.json

- signons3.sqlite

 

 

Examining Firefox

조사자의 시스템에서 Firefox가 시작되었으면 다음과 같이 입력합니다.

- about:cache

URL과 용의자의 캐시의 내용이 보여질 겁니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)