[Mac Forensics] Mac 아티팩츠 분석 (11)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Mac 아티팩츠 분석 11회차 입니다. 모두 화이팅 하세요!!!

 

Messages

아이클라우드를 통해 아이폰, 아이패드 등과 동기화가 됩니다.

 

Library > Messages > Archive

Messages는 ~/Library/Messages/Archive 아래에 저장됩니다.

각각의 archive 폴더안에는 각각의 대화에 대한 chat transcript 파일이 존재합니다.

Chat transcript 파일은 채팅한 상대방 계정명을 파일명으로 하고 날짜와 시간 값을 포함합니다.

Messages는 QuickLook으로 볼 수 있습니다.

사용자가 백업할 수 없을지라도 활성화된 메시지는 채팅이 종료하거나 삭제될 때 까지는 계속 남아 있을 겁니다.

 

 

Library > Messages > Attachments

관련 폴더에는 공유된 파일의 사본을 포함합니다.

chat.db 파일 안에 파일을 식별하는 UID 값을 가진 폴더가 존재합니다.

Quick Look으로 볼 수 있습니다.

 

 

Library > Messages > chat.db

메시지, 발송 날짜 및 읽은 날짜를 분석할 수 있습니다.

메시지는 UID로 식별 가능합니다.

사용자들의 계정은 GUID에 의해 식별됩니다.

 

 

첨부된 파일에 대한 데이터가 여기에서 확인될 수도 있습니다.

Outgoing/Incoming 플래그가 존재합니다. (Outgoing : 1)

생성날짜가 기록되어 있습니다.

첨부된 파일은 UID로 식별됩니다.

 

 

Handle 테이블과 Chat 테이블은 사용자가 채팅한 사람들에 대한 상세한 정보를 갖고 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)