도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 많이 추워졌네요. 오늘은 Mac 아티팩츠 분석 7회차 입니다. 모두 화이팅 하세요!!! Viewing Safari Cache (.db files) Cache.db는 sqlite3 명령어를 터미널에서 사용하여 분석할 수 있습니다. 아래의 그림은 SQLite 명령어를 실행하여 방문하였던 웹사이트의 히스토리를 보는 것 입니다. FileJuicer를 이용하면 Safari cache.db 파일을 더 쉽게 볼 수 있습니다. File Juicer - Extract images from PDF, PowerPoint, Word, Excel and other Files on Windows (echoone.com) FileJuicer는 Safari를 포함하여 몇 개 유형의 caches를..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 6회차 입니다. 모두 화이팅 하세요!!! Library > Safari > Bookmarks.plist 기본 데이터와 사용자 북마크 데이터는 plist 파일안에 저장되어 있습니다. 만약 북마크가 iCloud와 동기화되어 있다면 서버에도 남아 있을 수 있습니다. .webbookmark라는 확장자를 갖고 있습니다. 파일의 내용은 QuickLook으로 쉽게 볼 수 있습니다. Library > Cache > com.apple.Safari Cache.db 파일은 Safari를 통해서 열람하였던 모든 웹페이지의 컨텐츠가 위치하는 곳 입니다. Webpage Previews는 사용자가 방문하였던 웹페이지의 스냅샷을 포함하는 디렉토리입니다. Library..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 5회차입니다. 모두 화이팅 하세요!!! Safari 10.4.10+ Safari V3는 SQLite .db 포맷의 도입으로 말미암하 캐싱하는 새로운 방식을 시도하였습니다. 대부분의 사파리 데이터는 다음 4개의 경로에서 발견됩니다. ~/Library/Safari/ ~/Library/Caches/com.apple.Safari/ ~/Library/Caches/Metadata/ ~/Library/Preferences/com.apple.Safari.plist Library > Safari (v6) - Bookmarks.plist 특정 사용자의 북마크를 포함합니다. - Download.plist 특정 사용자가 다운로드한 파일의 이력을 포함합니다. 다..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 4회차 입니다. 날씨가 추워졌네요. 모두 화이팅 하세요!!! Mail > Entourage (versions 2004, 2008) MS Entourage는 메일 어플리케이션으로, Mac용 Office 2004에 최초 포함되었습니다. 이것은 윈도우용 MS Outlook과 유사합니다. MS Entourage는 메일 메시지를 전용 데이터베이스 파일에 저장하는데, 이것은 Documents 폴더 안에 위치합니다. 이 파일은 3rd 파티 어플리케이션인 Weird Kid software사의 Emailchemy를 이용하여 변환하는 것이 좋습니다. Emailchemy를 시작하면 MS User 데이터 폴더의 위치를 지정할 것인지 확인하는 단계를 거치게 됩니..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 3번째 시간입니다. 모두 화이팅하세요!!! Mail Application v6 Standard Mailbox Access Protocols 입니다. 메일은 POP이나 IMAP으로 수신합니다. 위 2개의 프로토콜은 SSL 연결로 암호화 되었을 겁니다. iCloud는 IMAP을 기본으로 합니다. Standard Mailbox Sending Protocols 메일은 SMTP로 송신합니다. SMTP도 SSL 연결로 암호화 가능합니다. iCloud는 보안 SMTP를 기본으로 합니다. Microsoft Exchange Server 2007 or Newer Supported 메일은 Exchange Web Services 프로토콜에 의존합니다. iCalend..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac 아티팩츠 분석 두번째 시간 입니다. 모두 화이팅 하세요!!! Contacts Application Internet Based ContactServices - iCloud, Yahoo, Gmail - CardDav Contact Sharing - Exchange 2007 or Newer Contact Sharing - Directory Service Contacts Library > Application Support > AddressBook > sources > (string) > metadata 연락처(Contact Information) 정보는 Metadata 폴더 안의 .abcdp 라는 확장자로 된 파일에 저장되어 있습니다. 이 파일은 Proper..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac에서의 주요 아티팩츠에 대해 알아보겠습니다. 모두 화이팅 하세요!!! Users Directory 일반적으로 파일은 사용자의 홈 디렉토리 내부의 기본 경로에 위치하게 됩니다. ‘Users’ 디렉토리는 하드드라이브의 최상위 root에 위치합니다. ‘Home’ 디렉토리는 일반적으로 사용자의 이름으로 표시됩니다. ‘Shared’ 디렉토리는 로컬 시스템의 다른 사용자가 접근하여 읽고 쓸수 있는 파일을 모아 놓은 곳 입니다. User > Library Library 디렉토리에는 resources, 사용자 환경 설정, 각 개별 사용자에 대한 데이터가 저장되어 있습니다. 이것은 Windows 시스템의 ‘Documents and Settings’폴더와 레지스트리를 합친..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 Spotlight를 이용한 키워드 검색에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Spotligh Spotlight의 그래픽 버전은 데스크탑의 우측 상단의 Spotlight 심볼을 클릭하여 사용할 수 있습니다. Spotlight는 Keystrokes(Command + Spacebar, 한영전환)를 이용하여 접근할 수 있습니다. Spotlight 설정정보는 System Preferences에 저장됩니다. 원칙적으로 조사자의 외장하드는 검색에서 제외되어야 하므로 Privacy탭에서 제외 설정을 해주어야 합니다. Spotlight 설정 Categories를 활성화/비활성화 가능합니다. 출력순서를 변경 가능합니다. Globally effect system 제외해..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 Mac 에서의 키워드 검색에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! 메타데이터로 키워드 검색하기 mdfind 특정한 메타데이터 속성을 이용하여 파일을 찾아 주는 명령어입니다. 피연산자(operand)와 수식어(modifier)를 상세 검색(specific searches)을 위해 이용할 수 있습니다. Time variables 시간 값을 이용하여 파일을 찾을 수 있습니다. 예) 어떤 디렉토리 아래의 특정 유형의 파일을 모두 찾아보자. mdfind “kMDItemKind == ‘*JPEG*’”wc –onlyin JPEG 파일에 대해 MDLS 명령어를 사용하여 매칭된 메타데이터를 확인할 수 있습니다. 파일 타입과 경로를 기반으로 파일을 찾고 CSV 형태로 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mac에서의 인덱스 분석에 대해 알아 보겠습니다. 모두 화이팅하세요 !!! Spotlight and Metadata Spotlight는 다음과 같이 예외적으로 마운트된 모든 볼륨에 대해 인덱스 하기 시작합니다. - 광학 미디어 - 네트워크 드라이버 (다만, 파일 공유가 켜져 있지 않다면) - 잠긴 볼륨 (읽기 전용) Spotlight 인덱스 파일은 .Spotlight-V100 이라는 숨겨진 디렉토리에 저장됩니다. 이 디렉토리는 볼륨의 root level에 있으며 색인 데이터를 갖고 있습니다. .Spotlight-V100은 이것과 비슷한 경로에 있는 일련의 인덱스, 저널링, 데이터베이스 파일를 포함합니다. /.Spotlight-V100/Store-V2/Store..