[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)

아이폰 Safari 포렌식이다. (그닥 어렵지 않다.)

[ Requirement ]

iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.)

ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를 통해서 사용해도 된다.) // scp 방법으로 추출은 따로 포스팅 하겠다.

DB Browser for SQLite (https://sqlitebrowser.org/)

먼저 ifunbox를 통한 아이폰 Safari 포렌식이다.

http://www.i-funbox.com/

iFunbox | the File and App Management Tool for iPhone, iPad & iPod Touch.

위 사이트에서 ifunbox 를 다운받을수 있다. (설치는 당연히 할줄 알고 생략한다.)

ifunbox 실행시

ifunbox 를 실행하면 위와 같은 화면이 뜨게 된다. usb 를 통해서 탈옥된 아이폰을 연결시켜 준다.

ifunbox - iphone 연결

여기 까지 들어왔다면 왼쪽 중간에 있는 빠른 도구 상자를 선택해준다.

ifunbox - 빠른도구상자

빠른 도구 상자를 선택한후  원시 파일 시스템 으로 접근한다.

/private/var/mobile/Library/Safari

원시 파일 시스템으로 접근했다면, /private/var/mobile/Library/Safari 경로로 접속하면 Bookmarks.db, CloudTabs 등의 데이터베이스 파일을 확인할 수 있다.

파일을 모두 드래그 한후 PC에 복사 버튼을 클린한후 사용자가 원하는 폴더에 저장해 준다.

ifunbox - PC 에 복사

아이폰 Safari DB가 모두 추출되었다.

DB Browser for SQLite - Bookmarks.db

먼저 북마크를 확인해 보기 위해 DB Browser for SQLite 프로그램을 통해서 Bookmarks.db를 열어준다.

데이터 보기 탭으로 들어가 Table 을 Bookmarks로 변경해준다.

DB Browser for SQLite - Bookmarks.db - Table - Bookmarks

필자는 system32.kr 을 북마크로 저장해뒀다. 정상정으로 북마크가 보이는 것을 확인 할 수 있다.

 

다음은 히스토리를 포렌식 해보자.

위와 똑같은 방식으로 CloudTabs.db 를 열은 후 테이블을 cloud_tabs 로 교체해주자.

DB Browser for SQLite - CloudTabs.db - Table - cloud_tabs

필자는 구글에 Search1 이라는 것을 검색한 적이 있었다. 

하지만 Search2, Seacrh_comeplete 도 검색했었는데 기록이 확인 되지 않았다. 

조금더 세세한 삽질이 필요할거 같다는 생각이 든다.

https://blog.system32.kr/104?category=824834

[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리

위 링크를 통해서 자세히 알아볼수 있습니다!

다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)