안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Mac 아티팩츠 분석 13회차 입니다. 모두 화이팅 하세요!!!
Notes
Notes는 .notesexternalrecords 라는 파일 확장자로 저장됩니다.
Notes 파일은 다음의 경로에서 찾을 수 있다.
~/Library/Containers/com.apple.notes/Data/Library/CoreData/ExternalRecords/<string>/
Note, NoteAction & NoteBody 디렉토리에 데이터가 저장되어 있습니다.
POV
Notes를 통해 복사된 것은 사용자의 POV에서 볼 수 있습니다.
날짜와 시각은 notes를 마지막으로 수정한 때를 보여줍니다.
생성시각을 확인하기 위해서는 다음의 경로에서 발견되는 .notesexternalrecords 파일에서 확인해야 합니다.
Library/Containers/com.apple.Notes/Data/Library/CoreData/ExternalRecords/<string of numbers>/Note/ _records/0
Library/Containers/com.apple.Notes/Data/Library/CoreData/ExternalRecords/<string of numbers>/NoteBody/ _records/0
~Library/Containers/com.apple.Notes/Data/Library/Notes/NotesV4.storedata
NotesV4.storedata 파일은 SQLite 데이터베이스 포맷입니다.
사용자 계정 정보는 ZACCOUNT 안에 저장되어 있습니다.
ZNOTEBODY 테이블은 HTML 형식으로 메모를 갖고 있습니다.
Reminders (일정관리 앱)
Reminders를 사용하여 해야할 목록(to-do lists)과 알람(alarms) 설정을 할 수 있습니다.
추가적으로 위치 기반 일정관리 앱(location based reminders)을 설정할 수 있습니다.
Reminders는 ~/Library/Calendars 폴더 안에서 발견됩니다.
각각의 Reminder는 .ics 파일 형태로 저장되어 있습니다.
.ics 파일은 QuickLook으로 볼 수 있습니다.
Completed와 Needs Action 둘 모두 저장됩니다.
Event 폴더 안의 plist는 Reminders 디렉토리 처럼 Calendar를 식별할 수 있습니다.
/Calendars 디렉토리의 Root에서 발견되는 Calendar cache는 SQLite 파일 포맷이고, 여기에는 각 Calendar의 주소와 Geo-based location reminders를 위한 다양한 정보를 포함하고 있습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Mac 아티팩츠 분석 (15) (0) | 2023.12.05 |
|---|---|
| [Mac Forensics] Mac 아티팩츠 분석 (14) (0) | 2023.12.03 |
| [Mac Forensics] Mac 아티팩츠 분석 (12) (0) | 2023.11.26 |
| [Mac Forensics] Mac 아티팩츠 분석 (11) (0) | 2023.11.24 |
| [Mac Forensics] Mac 아티팩츠 분석 (10) (0) | 2023.11.22 |