[Mobile Forensics] iPhone 백업 데이터 분석

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 iPhone 백업 데이터 분석에 대하여 알아 보겠습니다. 모두 화이팅 하세요!!!

 

iTunes vs. iCloud ? 

iTunes가 백업하는 것은 아래와 같습니다.

- Camera Roll

- Photos

- Screenshots

- Images saved

- Videos taken

- Contacts and Contact Favorites

- Calendar accounts and subscribed calendars

- Calendar events

- Safari bookmarks, cookies, history, offline date, and currently open pages

- Autofill for webpages

- Offline web application cache/database

- Notes

- Mail accounts

- 메일 메시지는 백업되지 않습니다.

- Microsoft Exchange account configurations

- Call history

- Messages

- iMessage

- carrier SMS

- carrier MMS pictures

- videos

- SIM카드에 동일한 전화번호를 갖는 폰에만 재저장됩니다.

- Voicemail token

- Voice memos

- Network settings

- Saved Wi-Fi hotspots

- VPN settings

- Network preferences

- Keychain

- Email account passwords

- Wi-Fi passwords

- 웹사이트와 일부 어플리케이션에 입력하였던 패스워드

백업을 암호화 하였다면, Keychain 정보를 새로운 디바이스에 전송할 수 있습니다. 암호화되지 않은 백업인 경우, 그 키체인이 같은 iOS 디바이스에만 키체인을 재저장할 수 있다. 새로운 디바이스를 암호화 되지 않은 백업으로 저장할 경우 패스워드를 다시 입력하여야 합니다.

- App Store Application data

애플리케이션 그 자체, tmp, 캐시 폴더는 제외합니다.

- Application settings, preferences, and data (문서 포함)

- In-app purchases

- Game Center account

- Wallpapers

- Location Service Preferences

현재 위치를 허용하기로 한 앱과 웹사이트에 대한 위치 서비스 설정입니다.

- Home screen arrangement

- Installed profiles

다른 디바이스에 백업을 재저장할 때, 설치된 설정 프로파일은 재저장 되지 않습니다.

- Map bookmarks, recent searches, current location displayed in Maps

- Nike + iPod saved workouts and settings

- Paired Bluetooth devices

- Saved suggestion corrections

- Trusted hosts that have certificates that can’t be verified

- Web clips

 

iCloud가 백업하는 것

- 음악, 영화, TV쇼, 앱, 책에 대한 구매 이력(Purchased history)

컨텐츠 그 자체는 포함하지 않습니다.

iCloud 백업에서 복원을 수행하면, 구매 내용dl 자동으로 iTunes Store, App Store, iBooks Store에서 복원됩니다.

- Photo and videos in your Camera Roll

- Device settings

- App data

- Home screen and app organization

- iMessage, text (SMS), and MMS messages

- Ringtons

- Visual Voicemail

 

Where are the backups located? 

Mac

\Users\<username>\Library\Application\Support\Mobilesync\Backup

Windows XP

\Documents and Settings\<username>\Application Data\Apple computer\MobileSync\Backup

Windows Vista, 7/8 이후

\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup

 

https://www.wideanglesoftware.com/support/ibackupextractor/where-are-iphone-backups-stored-on-windows-and-mac-computers.php

 

 

확장자를 기반으로 검색하여 찾는 방법

.mddata, .mdbackup 등 관련 파일을 검색합니다.

 

Understanding the content of the backup

iOS 백업 파일에 대한 조사가 가능한 도구는 다음과 같습니다. (2016년 기준)

- CelleBrite’s Physical Analyzer

- EnCase 7

- MPE +

- XRY

- Lantern

- Oxygen

 

일반적으로 조사에 흔히 이용되는 파일과 관련된 GUID 입니다.

Library/AddressBook/AddressBook.sqliteedb

(SHA-1) 31bb7ba8914766d4ba40d6dfb6113c8b614be442

Library/CallHistory/Call history.db

(SHA-1) 2b2b0084a1bc3a5ac8cd7afdf14afb42c61a19ca

Library/SMS/sms.db

(SHA-1) 3d0d7e5fb2ce288813306e4d4636395e047a3d28

Library/Notes/notes.sqlite

(SHA-1) ca3bc056d4da0bbf88b5fb3be254f3b7147e639c

 

UDID 폴더에서 발견되는 파일 타입

.plist 파일

정보 파일입니다.

XML을 이용하여 내용이 기록되어 있습니다.

텍스트 편집기나 Internet Explorer 를 이용하여 열람 가능합니다.

 

3개의 주요 plist 파일

Info.plist : 디바이스의 정보를 저장하고 있습니다.

- 할당된 사용자의 이름

- 디바이스의 전화 번호

- 디바이스의 시리얼넘버

- 다바이스가 백업된 마지막 날짜/시각

 

Status.plist

과거의 동기화 프로세스 또는 백업의 상태를 기록합니다.

 

Manifest.plist

백업파일의 실제 바이너리 plist 파일입니다.

디지털 시그너처

 

.mdbackup 파일

이것은 .mddata 와 .mdinfo로 바뀌었습니다.

대부분의 사용자 데이터를 포함합니다.

파일 이름은 알파벳-숫자 GUID입니다.

 

.mddata

실제 컨텐츠를 포함합니다.

 

.mdinfo 파일

메타데이터 정보를 포함합니다.

 

How to manually view the content of these common files

SQLite viewer

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Mobile Device Forensics 2016 (IACIS)