liqu3ur 님의 블로그

Analysis Environment 이름과 버전백업 대상 기기 / OSiPhone 12 iOS 18.3.2백업 도구iTunes 12.13.6.1데이터베이스 분석 도구DB Browser for SQLite 3.13.1 AdressBook주소록에는 기기 소유자의 개인 연락처에 대한 중요한 정보가 담겨 있다. 제3자 애플리케이션을 제외하면, 주소록에는 기기에 연결된 모든 연락처가 포함되어 있다. 주소록 데이터베이스는 HomeDomain 파일로, 다음 위치에서 찾을 수 있다./Home/Library/AddressBook/AddressBook.sqlitedbAddressBook.sqlitedb 파일은 여러 테이블을 포함하며, 특히 아래 세 가지 테이블이 특히 중요하다.ABPerson- 각 연락처의 이름, 조직,..

Analysis Environment 이름과 버전백업 대상 기기 / OSiPhone 12 iOS 18.3.2백업 도구iTunes 12.13.6.1데이터베이스 분석 도구DB Browser for SQLite 3.13.1Plist 분석 도구plist Editor Pro V 2.5 Calendar사용자가 직접 생성했거나 메일 애플리케이션 또는 기타 서드파티 애플리케이션을 통해 동기화된 캘리던 이벤트는 캘린터 데이터베이스에 저장된다. 캘린더 데이터베이스는 HomeDomain 파일이며, 다음 위치에서 찾을 수 있다./Home/Library/Calendar/ NotificationIconCacheCalendar 이벤트 알림에 표시할 아이콘을 PNG 형태로 캐시해 두는 디렉토리다. Calendar.sqlitedbC..

Analysis Environment 이름과 버전백업 대상 기기 / OSiPhone 12 iOS 18.3.2백업 도구iTunes 12.13.6.1데이터베이스 분석 도구DB Browser for SQLite 3.13.1 SMSSMS 데이터베이스에는 사용자가 주고받은 문자 메시지(SMS, MMS)가 저장된다. 이 데이터에는 아래와 같은 정보가 포함된다. 발신 및 수신 전화번호메시지 내용날짜 및 시간이동통신사 정보iOS 5부터 iMessage 데이터도 동일한 sms.db 파일에 저장된다.iMessage는 Wi-Fi 또는 셀룰러 네트워크를 통해 iOS 및 macOS 사용자가 서로 주고받는 메시지이다.이로 인해 기존의 SMS/MMS 메시지와 iMessage 데이터를 함께 분석해야 한다.SMS 메시지 데이터베이스는..

Live System활성 시스템이란 전원이 켜져 있는 시스템을 의미하며, 전원이 완전히 종료되지 않은 모든 상태는 활성 상태다. 화면 보호기가 실행되고 있거나, 절전 모드인 경우에도 전원이 꺼지지 않았기 때문에 활성 상태라고 볼 수 있다.Linux 운영체제는 개인용 PC보다는 웹 서버 등 서버용 PC로 많이 사용된다. 이런 서버들은 사용자의 요청을 기다리면서 24시간 내내 켜져 있는 경우가 많다. Live System Forensic활성 시스템 포렌식이란, 활성 시스템에서 증거를 수집하여 분석하는 것을 의미한다. 활성 시스템 포렌식과 반대되는 비활성 시스템 포렌식이란 수집된 디스크 이미지에서 증거를 수집하여 분석하는 것을 의미한다. 활성 시스템 증거 수집 과정에서 대상 시스템이 변경될 우려가 있기 때문에..

Android model Android 포렌식 개념을 효과적으로 이해하기 위해 Android 아키텍처에 대한 기본적인 이해가 필요하다. 컴퓨터와 마찬가지로, 사용자와 상호작용하고 복잡한 작업을 수행하는 모든 컴퓨팅 시스템에는 이를 효과적으로 처리할 수 있는 운영체제가 필요하다. 이 운영체제는(데스크톱 운영체제든 모바일 운영체제든) 시스템 리소스를 관리하고, 애플리케이션이 하드웨어 또는 물리적 구성 요소와 통신하여 특정 작업을 수행할 수 있도록 하는 역할을 한다. 현재 Android는 가장 인기 있는 모바일 운영체제로, 모바일 기기를 구동하는 데 사용된다. Android에 대한 자세한 내용은 아래 링크에서 확인할 수 있다.https://developer.android.com/about?hl=ko  Andr..

Analysis Environment 이름과 버전백업 대상 기기 / OSiPhone 12 iOS 18.3.2백업 도구iTunes 12.13.6.1데이터베이스 분석 도구DB Browser for SQLite 3.13.1 CallHistoryDB사용자가 전화 또는 FaceTime을 통해 발신, 부재중, 수신한 통화 내역은 통화 지속 시간, 날짜/시간 등과 같은 메타데이터와 함께 기록된다.통화 기록 데이터베이스는 WirelessDomain 파일이며, 다음 위치에서 찾을 수 있다./Home/Library/CallHistoryDB/ CallHistory.storedataZCALLDBPROPERTIES TABLEZ_PK Column : 각 레코드마다 유일한 값으로 할당되는 Primary Key. 레코드 식별 및 누..

문제 설명분명히 이걸 스캔해야 하는 것 같은데... 잘 이해가 안 갑니다. 문제 풀이문제 파일을 살펴보면 아래 이미지와 같이 이진수를 잔뜩 볼 수 있고, 문제 설명에서 스캔해야 한다를 설명을 통해서 QR코드나 바코드 또는 이것과 유사한 무언가가 관련되어 있음을 추측할 수 있다.https://bahamas10.github.io/binary-to-qrcode/ 에서 이진수를 입력해 QR코드를 생성할 수 있다. 위 QR코드에 접속하면 아래 이미지와 같이 Flag를 발견할 수 있다.

iTunes backup iOS 기기와 동기화된 컴퓨터에는 방대한 정보가 저장되어 있다. 이 컴퓨터를 일반적으로 호스트 컴퓨터라고 부르며, 과거 데이터와 암호 우회 인증서를 보유하고 있을 수 있다. 형사 수사에서 수색 영장을 통해 용의자의 컴퓨터를 압수하고 해당 백업 및 인증서를 확보할 수 있다. 이 외의 경우는 동의 또는 허가된 접근이 필요하다. iOS 백업 파일 포렌식은 주로 iPhone, iPad, iPod touch, Apple Watch의 오프라인 백업을 분석하는 작업이다. Applw Watch의 데이터는 동기화된 iPhone 백업 안에 포함된다.물리적, 파일 시스템, 논리적 방법으로 iOS 기기에서 데이터를 추출하기 어려운 경우, iTunes 백업 방식이 유용하다. 포렌식 수사관은 iTunes..

iPhone models iPhone은 시장에서 가장 인기 있는 스마트폰 중 하나이다. Apple는 2007년 6월에 1세대 아이폰을 출시했다. 첫 출시 이후 아이폰은 뛰어난 기능성과 사용 편의성 덕분에 엄청난 인기를 얻었다. iPhone 5 이후에 출시된 기기들에서는 데이터를 물리적으로 복구기에는 어려움이 있지만, 해당 기기가 jailbreaking된 상태라면 예외이다. 그러나 아이폰이 잠금 해제된 경우 파일 시스템 및 논리적 데이터 수집은 가능하다. Identifying the correct hardware model 아이폰을 조사하기에 앞서, 올바른 하드웨어 모델과 기기에 설치된 펌웨어 버전을 식별하는 것이 필요하다. 아이폰의 세부 정보를 아는 것은 해당 기기에서 증거를 확보하는 과정에서의 중요성과..

Mobile forensics 모바일 포렌식은 디지털 포렌식의 한 분야로, 모바일 기기에서 디지털 증거를 복구하는 작업을 다룬다. 디지털 포렌식 세계에서는 특정 포렌식 기술이나 방법론이 적합하고 정당하다는 것을 의미하는 법적 무결성이 매우 중요하다. 디지털 증거에 대한 무결성 있는 포렌식 수사의 주요 원칙은 원본 증거를 절대 수정하지 않는 것이다. 하지만 모바일 기기에서는 이 원칙을 지키기가 상당히 어렵다. 일부 포렌식 도구는 모바일 기기와의 통신이 필요하므로, 표준 쓰기 방지가 포렌식 데이터 획득 중에 작동하지 않을 수도 있다. 모바일 기기의 설정을 변경하지 않고 데이터를 획득할 수 없다면, 해당 절차와 변경 사항을 반드시 테스트, 검증, 문서화해야 한다. 적절한 방법론과 지침을 따르는 것이 가장 가치..