[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
https://blog.system32.kr/66?category=824834
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를..
blog.system32.kr
기존의 방법과 같은데 위에서 언급한 방법은 방문 기록, 히스토리가 아닌, 북마크와 즐겨찾기의 기록이었다.
오늘은 정확한 방문 기록, 히스토리 포렌식에 대해서 다루도록 하겠다.
\private\var\mobile\Containers\Data\Application\[App-ID]\Library\Safari\History.db
먼저 Safari(사파리)의 Database의 위치는 위와 같다. scp, iFunbox를 통해서 알아서 추출하도록 하자.
필자는 FTK imager을 통해서 History.db파일을 추출했다. 필자의 방법이 꼭 그 방향만 있는 것이 아닌, 다른 방법을 통해서 Database를 추출해도 좋다.
파일이 이렇게 추출이 완료 됐다면 DB Browser for Sqlite 프로그램을 통해서 살펴보자.
테이블 구조는 위와 같다.
history_client_versions, history_event_listeners, history_events, history_items, history_tombstones, history_visits, metadata, sqlite_sequence 테이블이 있는데 여기서 초점을 맞춰야 하는 것 history_item 이다.
history_item 테이블을 살펴보면, 필자가 NEWSECU CTF를 위해서 준비한 히스토리들을 확인할 수 있었다.
결론으로 중요한 것은
\private\var\mobile\Containers\Data\Application\[App-ID]\Library\Safari\History.db > history_item
위 경로를 알아두면 iPhone Forensics > Safari 포렌식을 진행할 때 유용할 것이라고 생각한다.
다른 추가적인 문의나 오탈자는 pental@kakao.com로 보내주시면 감사하겠습니다. :)
'Forensics > Iphone Forensics' 카테고리의 다른 글
| [ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출 (0) | 2020.04.03 |
|---|---|
| [iphone] 아이폰 탈옥 가장 쉬운 방법! - Checkra1n 사용 (총정리 / 맥os 필요 X) (3) | 2020.04.03 |
| [ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics) (0) | 2020.01.01 |
| [ios Forensics] 아이폰 문자 포렌식 (SMS Forensics) (1) | 2019.12.20 |
| [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) (0) | 2019.12.20 |