도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘 부터는 모바일 포렌식에 대해 알아 봅니다. 날씨가 겨울 답지않게 매우 포근하네요. 모두 화이팅하세요!!! Evidence Collection and Reservation Seized --> isolated --> transported --> stored securely --> extracted/analyzed 포렌식 분석관은 조사/리뷰팀의 조사관과 소통하여 현장에 어떠한 모바일 디바이스가 존재하는지 확인한 다음, 적절한 도구와 장비를 갖추고 현장에 임하여야 합니다. 증거를 확보할 적절한 법률적 권한(proper legal authority)의 존재 여부를 확인하여야 합니다. 휴대전화 압수와 관련된 기본 장비들 - Faraday Box 참조 : https://mo..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 iOS 아티팩츠에 대해 알아 봅니다. 모두 화이팅 하세요!!! iOS Artifact Files iOS 파일시스템은 Mac OS X를 기반으로 합니다. iOS 파일시스템의 컨텐츠의 활성화와 관리는 Mac OS X 또는 윈도우상에서 iTunes 어플리케이션에 의해 이루어 집니다. iOS 디바이스에 대한 물리적 이미징은 제한됩니다. 포렌식 솔루션은 컴퓨터 상의 iOS 백업에서 찾을 수 있는 것과 동일한 정보를 수집하게 합니다. iOS 디바이스에 저장되어 있는 대부분의 정보를 디바이스가 연결된 이후에는 컴퓨터에서도 찾아 볼 수 있습니다. Mac 이나 PC에서 iOS 백업 파일을 수색하는 것은 매우 흔한 포렌식 프로세스 입니다. Encryption 백업은 암호화되어 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 15회차 입니다. 모두 화이팅 하세요!!! Library > Preferences > com.apple.recentitems.plist 기본적으로 최근에 접근한 어플리케이션, Documents, Services가 10개 까지 기록되어 있습니다. Library > Preferences > com.apple.spotlight.plist 최근에 접근한 파일에 대한 또 하나의 흔적은 spotlight.plist 안에 남습니다. 이 파일은 Spotlight 검색을 통해 어떤 어플리케이션에 마지막으로 접근한 시각을 기록해 두고 있습니다. Library > Preferences > com.apple.Preview.LSSharedFile.plist Pr..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 14회차 입니다. 모두 화이팅 하세요!!! .Trash : Mac’s File Deletion .Trash는 삭제된 파일이 포함되어 있는 숨겨진 폴더로 사용자 계정에서 발견됩니다. .Trashes는 외부 저장장치(External media)에서 발견되기도 합니다. GUI counterpart는 dock 안에 위치한 Trash를 보여 줍니다. 삭제된 파일은 .Trash로 보내고, 사용자가 지울 때 까지(until purged by the user) 남아 있게 됩니다. Trash 안에 있는 동안 파일은 볼 수도 없고 사용할 수도 없습니다. 그렇게 하기 위해서는 다른 장소로 옮겨 져야 합니다. (휴지통에 있는 파일은 볼 수도, 사용할 수도 없다..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 13회차 입니다. 모두 화이팅 하세요!!! Notes Notes는 .notesexternalrecords 라는 파일 확장자로 저장됩니다. Notes 파일은 다음의 경로에서 찾을 수 있다. ~/Library/Containers/com.apple.notes/Data/Library/CoreData/ExternalRecords// Note, NoteAction & NoteBody 디렉토리에 데이터가 저장되어 있습니다. POV Notes를 통해 복사된 것은 사용자의 POV에서 볼 수 있습니다. 날짜와 시각은 notes를 마지막으로 수정한 때를 보여줍니다. 생성시각을 확인하기 위해서는 다음의 경로에서 발견되는 .notesexternalrecords ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 12회차 입니다. 모두 화이팅 하세요!!! Library – Preferences > com.apple.iChat.plist Messages plist는 iChat 아래에 존재합니다. Plist 파일은 어플리케이션의 설정과 사용자 정보를 포함합니다. 사용자의 계정은 UID에 의해 식별됩니다. GUID 가 chat.db 파일 아래에서 발견될 수 있고 사용자가 다른 메시지 대화를 위해 사용한 계정을 식별할 수 있습니다. RecentChats는 사용자가 메시지와 함께 사용하였던 계정을 보여줍니다. 또한 사용자가 채팅한 계정도 보여줍니다. jabber plist 파일은 관련된 Gmail account에 대한 상세한 사항을 보여줍니다. 계정명과 계..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 11회차 입니다. 모두 화이팅 하세요!!! Messages 아이클라우드를 통해 아이폰, 아이패드 등과 동기화가 됩니다. Library > Messages > Archive Messages는 ~/Library/Messages/Archive 아래에 저장됩니다. 각각의 archive 폴더안에는 각각의 대화에 대한 chat transcript 파일이 존재합니다. Chat transcript 파일은 채팅한 상대방 계정명을 파일명으로 하고 날짜와 시간 값을 포함합니다. Messages는 QuickLook으로 볼 수 있습니다. 사용자가 백업할 수 없을지라도 활성화된 메시지는 채팅이 종료하거나 삭제될 때 까지는 계속 남아 있을 겁니다. Library >..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 10회차 입니다. 모두 화이팅 하세요!!! iPhoto iPhoto는 애플의 iLife Suite의 일부이고 Mac에서 찾아 봐야 할 일반 어플리케이션중 하나입니다. iPhoto를 이용하여 사용자는 사진을 관리하고 편집할 수 있게 됩니다. 다음과 같은 기능을 포함합니다. - Faces : 얼굴인식 기능 - Places : 위치기반 분류 기능 - Events : 날짜기반 분류 기능 카메라/디바이스는 자동으로 iPhoto와 연동됩니다. PhotoStream과 동기화되어 iOS로 찍은 사진은 iPhoto에 자동으로 나타날 수 있습니다. 이메일 및 Facebook과 통합 기능도 가능합니다. Pictures – iPhoto Library iPhot..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 9회차 입니다. 모두 화이팅 하세요!!! Library > Application Support > Google > Chrome > Default Bookmarks, Cookies, History, Search History, Autofill History가 하위 아티팩츠입니다. 많은 아티팩츠가 날짜와 시간 정보를 갖고 있습니다. 상당수의 Document 파일이 Plist 형태이며 열람 가능합니다. 또다른 파일 포맷으로는 SQLite Databases도 있습니다. Library > Application Support > Google > Chrome > Default > Bookmarks URL, Name, Folder located in, ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 8회차 입니다. 모두 화이팅 하세요!!! Safari & Private Browsing Option 시크릿 모드, 개인정보 보호 모드에 관한 것 입니다. TopSites.plist는 갱신되지 않습니다. LastSession.plist는 갱신되지 않습니다. History.plist는 갱신되지 않습니다. Cache.db는 개인정보 모드에서 나갈때 지워집니다. 이 옵션이 설정되어 있는지 Safari.plist 파일을 보고 확인하여야 합니다. 저장경로는 user/Library/Preferences/com.apple.Safari.plist 입니다. Examining Firefox Firefox는 여전히 Mac 에서 가장 흔히 사용하는 브라우저 중 ..