Forensics/Iphone Forensics
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
2020.01.01필자는 오늘 Iphone KeyChain Forensics를 진행하였다. 먼저 아이폰의 회사, 즉 애플의 말에 따르면, 아이폰에 있는 Keychain은 Application에서 사용하는 User Name, Password, Network Password, Auth Token 등 민감한 정보를 저장하는데 사용하는 안전한 저장소라고 한다. 애플 자체적으로도 Wi-fi 네트워크 패스워드나 VPN 자격 증명을 저장하는데 Keychain을 사용하고 있다. 암호화된 sqlite 데이터베이스 파일로 /private/var/Keychain/keychain-2.db 에 저장된다. 그럼 어떻게 추출하는가? Keychain Dumper를 이용해서 keychain을 분석한다. https://github.com/ptoomey3..
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
2019.12.20아이폰 SMS 포렌식이다. DB 를 추출하는 방법은 아래를 참고 하면 된다. https://blog.system32.kr/66 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 아이폰 SMS 경로는 https://blog.system32.kr/65에 상세히 적혀 있으니 참고 하도록 하자. /var/mobile/Library/SMS DATE 로 바꾸는 사이트 입니다. 먼저 ..
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
2019.12.20아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를 통해서 사용해도 된다.) // scp 방법으로 추출은 따로 포스팅 하겠다. DB Browser for SQLite (https://sqlitebrowser.org/) 먼저 ifunbox를 통한 아이폰 Safari 포렌식이다. http://www.i-funbox.com/ iFunbox | the File and App Management Tool for iPhone, iPad & iPod Touch. iFunbox-Store iFun..
[ios Forensics] 아이폰 주요 경로 (Safari, Photo, Mail 등)
[ios Forensics] 아이폰 주요 경로 (Safari, Photo, Mail 등)
2019.12.20[ 주소록 저장 경로 ] /private/var/mobile/Library/AddressBook/AddressBook.sqlitedb [ 문자메시지 저장 DB ] /var/mobile/Library/SMS [ 이메일 헤더파일 저장 경로 ] /private/var/mobile/Library/Mail/POP-자신의 이메일주소/Deleted Messages.mbox/Messages /private/var/mobile/Library/Mail/POP-자신의 이메일주소/INBOX.mbox/Messages [ 사파리(Safari) 검색기록, 히스토리, 북마크 저장 경로 ] /private/var/mobile/Library/Safari [ 벨소리 경로 ] /private/var/stash/Ringtones.******..
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
2019.12.18필자는 오늘 Safari 프로세스를 덤프해서 포렌식을 진행해 볼것이다. 먼저 Frida-ps -U 명령어를 통해서 Safari의 PID가 무엇인지 확인한다. (저 명령어가 무엇인지 모른다면 https://blog.system32.kr/63 을 참고하기 바란다.) [ios Forensics] 아이폰 메모리 포렌식 - fridump 사용 필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다).. blog.system32.kr frida-ps -U 명령어를 통해서 현재 구동중인 프로세스들을 확인할 수 ..
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
2019.12.17필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다) 2. iphone ( 필자는 iphone6 / 12.3.1 을 사용했으며 물론 탈옥이 되어있는 상태이다.) 3. frida 다시 본론으로. python3 버전을 설치하면 자동으로 환경변수가 등록된다. + pip 도 가능하다. 먼저 pip 로 frida 를 설치해준다. C:\Users\pental>pip install frida frida를 설치 했다면, 본인의 아이폰을 컴퓨터에 연결후 C:\Users\pental>frida-ps -U 입력해주..