liqu3ur 님의 블로그

Analysis Environment 이름과 버전백업 대상 기기 / OSiPhone 12 iOS 18.3.2백업 도구iTunes 12.13.6.1데이터베이스 분석 도구DB Browser for SQLite 3.13.1 AdressBook주소록에는 기기 소유자의 개인 연락처에 대한 중요한 정보가 담겨 있다. 제3자 애플리케이션을 제외하면, 주소록에는 기기에 연결된 모든 연락처가 포함되어 있다. 주소록 데이터베이스는 HomeDomain 파일로, 다음 위치에서 찾을 수 있다./Home/Library/AddressBook/AddressBook.sqlitedbAddressBook.sqlitedb 파일은 여러 테이블을 포함하며, 특히 아래 세 가지 테이블이 특히 중요하다.ABPerson- 각 연락처의 이름, 조직,..

Analysis Environment 이름과 버전백업 대상 기기 / OSiPhone 12 iOS 18.3.2백업 도구iTunes 12.13.6.1데이터베이스 분석 도구DB Browser for SQLite 3.13.1Plist 분석 도구plist Editor Pro V 2.5 Calendar사용자가 직접 생성했거나 메일 애플리케이션 또는 기타 서드파티 애플리케이션을 통해 동기화된 캘리던 이벤트는 캘린터 데이터베이스에 저장된다. 캘린더 데이터베이스는 HomeDomain 파일이며, 다음 위치에서 찾을 수 있다./Home/Library/Calendar/ NotificationIconCacheCalendar 이벤트 알림에 표시할 아이콘을 PNG 형태로 캐시해 두는 디렉토리다. Calendar.sqlitedbC..

Analysis Environment 이름과 버전백업 대상 기기 / OSiPhone 12 iOS 18.3.2백업 도구iTunes 12.13.6.1데이터베이스 분석 도구DB Browser for SQLite 3.13.1 SMSSMS 데이터베이스에는 사용자가 주고받은 문자 메시지(SMS, MMS)가 저장된다. 이 데이터에는 아래와 같은 정보가 포함된다. 발신 및 수신 전화번호메시지 내용날짜 및 시간이동통신사 정보iOS 5부터 iMessage 데이터도 동일한 sms.db 파일에 저장된다.iMessage는 Wi-Fi 또는 셀룰러 네트워크를 통해 iOS 및 macOS 사용자가 서로 주고받는 메시지이다.이로 인해 기존의 SMS/MMS 메시지와 iMessage 데이터를 함께 분석해야 한다.SMS 메시지 데이터베이스는..

Artifacts디지털 포렌식에서의 디지털 증거는 크게 보관 증거와 생성 증거로 나눌 수 있다.  ※보관 증거는 사람이 직접 작성한 데이터를 의미한다.ex) 컴퓨터에서 사람이 직접 작성한 문서 등이런 증거는 작성자의 생각이나 감정이 표현되어 있기도 하다. ※생성 증거는 사용자의 직접적인 개입 없이, 자동으로 생성된 증거를 의미한다. 사용자의 어떠한 행위로 인해 간접적으로 운영체제, 파일시스템 또는 어플리케이션이 생성한 데이터를 의미한다. ex) 컴퓨터를 부팅했을 때 생성된 이벤트 로그 등 아티팩트는 생성 증거 중에서 일정한 구조를 띄는 데이터를 의미한다. Windows Artifacts Type 분류아티팩트주요 획득 가능한 데이터시스템 파일레지스트리                ※주기적인 업데이트 예정입니다.