안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Mac 아티팩츠 분석 10회차 입니다. 모두 화이팅 하세요!!!
iPhoto
iPhoto는 애플의 iLife Suite의 일부이고 Mac에서 찾아 봐야 할 일반 어플리케이션중 하나입니다.
iPhoto를 이용하여 사용자는 사진을 관리하고 편집할 수 있게 됩니다.
다음과 같은 기능을 포함합니다.
- Faces : 얼굴인식 기능
- Places : 위치기반 분류 기능
- Events : 날짜기반 분류 기능
카메라/디바이스는 자동으로 iPhoto와 연동됩니다.
PhotoStream과 동기화되어 iOS로 찍은 사진은 iPhoto에 자동으로 나타날 수 있습니다.
이메일 및 Facebook과 통합 기능도 가능합니다.
Pictures – iPhoto Library
iPhoto는 하나의 패키지 파일 형식으로 사진을 저장합니다. 따라서 일반 사용자는 쉽게 접근할 수 없을 수도 있습니다.
패키지 또는 bundle 파일안에 iPhoto library 등 관련 파일이 존재합니다.
Photo Library를 우클릭하고 Show Package Contents를 클릭하면 내포된 데이터(bundled data)가 보일 겁니다.
iPhoto는 Masters 폴더안에 imported photos를 저장하고, 만약 수정하게 되면 사본은 Preview 폴더에 위치할 겁니다.
Thumbnails 폴더에는 Library photos에 대한 추가적인 사본이 포함되어 있습니다.
Library.iPhoto, AlbumData.xml, Database 디렉토리에는 Photo metadata, album, film roll information이 존재합니다.
iPhoto는 모든 이미지에 대한 썸네일을 library안에 생성하고 Thumb Segment files 형식으로 저장하여 둡니다.
예) Thumb32Segment.data, Thumb64Segment.data
이것은 어플리케이션이 시작할 때 이미지를 로드하는 속도를 향상시키는데 도움을 줍니다.
해당 파일에는 library와 예전에 사용하였던 아이폰과 같은 디바이스에서 삭제된 이미지가 존재할 가능성도 있습니다.
ThumbJPGSegment 파일에는 파일에 대한 실제 썸네일이 포함되어 있습니다.
Library – Preferences > com.apple.iPhoto.plist
iPhoto plist 파일에는 사용자 이름, 관련된 메일에 대한 정보가 들어 있습니다.
뿐만 아니라 조사자는 Photo Library에 대한 경로도 찾을 수 있고, 특히 이것은 기본 경로를 사용하지 않고 사용자가 임의로 경로를 잡은 경우 조사에 도움이 될 수 있습니다.
Pictures – Photo Booth Library
Photo Booth를 통해 사용자는 내장된 FaceTime 카메라로 일반 또는 효과를 적용하여 사진이나 동영상을 찍을 수 있게 됩니다
해당 어플리케이션으로 배경을 넣을 수도 있고 영화도 찍을 수 있습니다.
파일은 Photo Booth Library 라고 명명된 bundle file 안에 User’s Picture 폴더 안에 저장됩니다.
위 파일을 보기 위해서는 조사자는 우클릭하고 Show Package Contents를 클릭해야 합니다.
사용자에 의해 삭제되지 않은 한, 사진은 해당 폴더에 남아 있을 겁니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
[Mac Forensics] Mac 아티팩츠 분석 (12) (0) | 2023.11.26 |
---|---|
[Mac Forensics] Mac 아티팩츠 분석 (11) (0) | 2023.11.24 |
[Mac Forensics] Mac 아티팩츠 분석 (09) (0) | 2023.11.19 |
[Mac Forensics] Mac 아티팩츠 분석 (08) (0) | 2023.11.16 |
[Mac Forensics] Mac 아티팩츠 분석 (07) (0) | 2023.11.13 |