Mac Forensics

[Mac Forensics] iOS 아티팩츠 분석

도깬리 2023. 12. 7. 06:35

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 iOS 아티팩츠에 대해 알아 봅니다. 모두 화이팅 하세요!!!

 

iOS Artifact Files

iOS 파일시스템은 Mac OS X를 기반으로 합니다.

iOS 파일시스템의 컨텐츠의 활성화와 관리는 Mac OS X 또는 윈도우상에서 iTunes 어플리케이션에 의해 이루어 집니다.

iOS 디바이스에 대한 물리적 이미징은 제한됩니다.

포렌식 솔루션은 컴퓨터 상의 iOS 백업에서 찾을 수 있는 것과 동일한 정보를 수집하게 합니다.

iOS 디바이스에 저장되어 있는 대부분의 정보를 디바이스가 연결된 이후에는 컴퓨터에서도 찾아 볼 수 있습니다.

Mac 이나 PC에서 iOS 백업 파일을 수색하는 것은 매우 흔한 포렌식 프로세스 입니다.

 

Encryption

백업은 암호화되어 있을 가능성이 매우 높습니다.

iOS 백업 파일을 암호화 하는 옵션은 iTunes device Summary 페이지에서 확인 할 수 있습니다.

 

 

.mdbackup files

동기화가 이루어지는 동안, 디바이스의 데이터는 사용자의 컴퓨터로 백업됩니다.

백업된 파일은 다음의 경로에 위치한다.

~/Library/Application Support/MobileSync/Backup/<unique identifier for device>

백업 파일은 unique identifier와 함께 mdbackup 확장자를 갖습니다.

) 0a49f42bc2fbedb5713469b34a0bb158097fc0f5.mdbackup

mdbackup의 이름은 디바이스 상의 실제 파일 경로에 대한 SHA1 해시값입니다.

백업 파일은 plist 포맷으로 되어 있고, encapsulated images, SQLite DB 파일, 기타 plist의 형태로도 존재합니다.

 

 

.mddata 와 .mdinfo files

iTunes 8.1로 업데이트 되면서 약간의 변화가 Apple device backup file에 반영되었습니다.

디바이스의 백업 파일의 확장자가 .mdbackup에서 .mddata.mdinfo로 변경되었습니다.

 

 

Apple Device Backup Files

Apple 디바이스의 백업 파일은 확장자가 없습니다.

대부분의 파일은 QuickLook 기능으로 열어 볼 수 있습니다.

자동화된 도구로 이들 파일을 처리할 때 첫 번째 단계로써 파일 시그너처 분석이 요구됩니다.

 

 

Apple Device plists

디바이스의 백업 폴더안에는 다음과 같이 중요한 3개의 plist 파일이 존재합니다.

- Info.plist

iPhone에 대한 구체적인 정보를 포함합니다.

) 이름, 전화번호, IMEI 번호 등

- Status.plist

마지막 동기화에 대한 정보를 포함합니다.

- Manifest.plist

백업된 모든 파일에 대한 목록, 수정 일시, SHA1 해시값이 포함되어 있습니다.

데이터는 Erica SadunMDHelper라는 도구를 사용하여 복호화할 수 있습니다.

 

 

Backup Files 내용

백업파일은 다음의 것을 포함합니다.

- Safari History & Bookmarks

- Photos (Phone & Synced iPhoto)

- Sent & Received SMS

- Calendar Events

- Notes

- Address Book Entries

- Call History

- Cookies

- Map History

- Email Accounts

- YouTube Last Search, Last Viewed & Bookmarks data

 

iPhone Backup Extractor

암호화 되지 않은 백업 파일만 처리합니다.

Desktop 이나 Application 폴더 안에 위치할 수 있고, 다양한 백업을 찾을 수 있습니다.

plistdb 파일을 추출하여 조사될 데스크탑의 폴더 안에 놓고 작업합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : MAC Forensics Training Event 2016 (IACIS)

 

저작자표시 비영리 변경금지

'Mac Forensics' 카테고리의 다른 글

[Mac Forensics] Mac 아티팩츠 분석 (15)  (0) 2023.12.05
[Mac Forensics] Mac 아티팩츠 분석 (14)  (0) 2023.12.03
[Mac Forensics] Mac 아티팩츠 분석 (13)  (0) 2023.11.30
[Mac Forensics] Mac 아티팩츠 분석 (12)  (0) 2023.11.26
[Mac Forensics] Mac 아티팩츠 분석 (11)  (0) 2023.11.24

'Mac Forensics'의 다른글

  • 현재글[Mac Forensics] iOS 아티팩츠 분석

관련글

댓글

티스토리툴바