Forensics/Iphone Forensics
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
2020.04.16오늘은 아이폰 기본 기능 중 "가리기" 기능을 통해서 가려진 사진도 포렌식이 되는지 확인해 보도록 하겠습니다. 가리기 기능은 갤러리에서 사진을 선택후 옵션 버튼을 통해서 가리기를 사용할 수 있습니다. 먼저 저는 6개의 사진을 가려보았습니다. 이제 분석을 진행해 보도록 하겠습니다. 먼저 Axiom을 실행시켜주고, 새로운 케이스 생성을 클릭해줍니다. 케이스 번호와, 케이스 유형, 파일 경로, 스캔한 사람에 대해서 작성해 주고, 증거 소스로 이동해 줍니다. 저는 미리 이미징을 떠두지 않고, 이미징과 동시에 분석을 진행해 보려고 합니다. 아이폰을 연결하고, 위 사진과 같이 증거를 탑재합니다. 아이폰이 탈옥이 되어 있다면, 전체 이미징 기능이 활성화 되있을 것입니다. 하지만 탈옥이 되어 있지 않다면, 빠른 이미징..
[ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출
[ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출
2020.04.03오늘은 아이폰에서 카카오톡 DB를 추출해 보도록 하겠습니다. 먼저 준비물입니다! 1. 아이폰 (탈옥되어있어야한다.) 2. 분석이 가능한 컴퓨터 3. 근성 위 세가지만 가지고 계시다면 충분히 카카오톡 포렌식을 할수 있다고 생각합니다! 바로 본론으로 들어가겠습니다. 먼저 탈옥된 아이폰은 컴퓨터와 연결해줍니다. iFunBox 같은 프로그램을 통해서 데이터 베이스를 추출할겁니다. iFunBox의 사용법과 설치 방법은 아래 링크를 참조해주세요! https://blog.system32.kr/66?category=824834 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbr..
[iphone] 아이폰 탈옥 가장 쉬운 방법! - Checkra1n 사용 (총정리 / 맥os 필요 X)
[iphone] 아이폰 탈옥 가장 쉬운 방법! - Checkra1n 사용 (총정리 / 맥os 필요 X)
2020.04.03오늘 아이폰 탈옥에 대해서 총정리를 해보겠습니다. 먼저 준비물입니다. 1. 아이폰(아이폰5 ~ 아이폰 X / 버전 상관 없이 가능) 2. 8기가 이상의 USB 3. 근성 먼저 필자는 아이폰6를 사용해서 탈옥을 해보도록 하겠습니다. 필자의 버전은 12.3.1 이니 참고해주세요! 본격적으로 시작해보겠습니다. 먼저 아이폰을 준비해줍니다. (전원을 켜줍니다) 우분투 OS를 받습니다. http://releases.ubuntu.com/16.04/ Ubuntu 16.04.6 LTS (Xenial Xerus) Select an image Ubuntu is distributed on two types of images described below. Desktop image The desktop image allows y..
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
2020.02.23https://blog.system32.kr/66?category=824834 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 기존의 방법과 같은데 위에서 언급한 방법은 방문 기록, 히스토리가 아닌, 북마크와 즐겨찾기의 기록이었다. 오늘은 정확한 방문 기록, 히스토리 포렌식에 대해서 다루도록 하겠다. \private\var\mobile\Containers\Data\App..
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
2020.01.01필자는 오늘 Iphone KeyChain Forensics를 진행하였다. 먼저 아이폰의 회사, 즉 애플의 말에 따르면, 아이폰에 있는 Keychain은 Application에서 사용하는 User Name, Password, Network Password, Auth Token 등 민감한 정보를 저장하는데 사용하는 안전한 저장소라고 한다. 애플 자체적으로도 Wi-fi 네트워크 패스워드나 VPN 자격 증명을 저장하는데 Keychain을 사용하고 있다. 암호화된 sqlite 데이터베이스 파일로 /private/var/Keychain/keychain-2.db 에 저장된다. 그럼 어떻게 추출하는가? Keychain Dumper를 이용해서 keychain을 분석한다. https://github.com/ptoomey3..
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
2019.12.20아이폰 SMS 포렌식이다. DB 를 추출하는 방법은 아래를 참고 하면 된다. https://blog.system32.kr/66 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 아이폰 SMS 경로는 https://blog.system32.kr/65에 상세히 적혀 있으니 참고 하도록 하자. /var/mobile/Library/SMS DATE 로 바꾸는 사이트 입니다. 먼저 ..
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
2019.12.20아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를 통해서 사용해도 된다.) // scp 방법으로 추출은 따로 포스팅 하겠다. DB Browser for SQLite (https://sqlitebrowser.org/) 먼저 ifunbox를 통한 아이폰 Safari 포렌식이다. http://www.i-funbox.com/ iFunbox | the File and App Management Tool for iPhone, iPad & iPod Touch. iFunbox-Store iFun..
[ios Forensics] 아이폰 주요 경로 (Safari, Photo, Mail 등)
[ios Forensics] 아이폰 주요 경로 (Safari, Photo, Mail 등)
2019.12.20[ 주소록 저장 경로 ] /private/var/mobile/Library/AddressBook/AddressBook.sqlitedb [ 문자메시지 저장 DB ] /var/mobile/Library/SMS [ 이메일 헤더파일 저장 경로 ] /private/var/mobile/Library/Mail/POP-자신의 이메일주소/Deleted Messages.mbox/Messages /private/var/mobile/Library/Mail/POP-자신의 이메일주소/INBOX.mbox/Messages [ 사파리(Safari) 검색기록, 히스토리, 북마크 저장 경로 ] /private/var/mobile/Library/Safari [ 벨소리 경로 ] /private/var/stash/Ringtones.******..
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
2019.12.18필자는 오늘 Safari 프로세스를 덤프해서 포렌식을 진행해 볼것이다. 먼저 Frida-ps -U 명령어를 통해서 Safari의 PID가 무엇인지 확인한다. (저 명령어가 무엇인지 모른다면 https://blog.system32.kr/63 을 참고하기 바란다.) [ios Forensics] 아이폰 메모리 포렌식 - fridump 사용 필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다).. blog.system32.kr frida-ps -U 명령어를 통해서 현재 구동중인 프로세스들을 확인할 수 ..
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
2019.12.17필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다) 2. iphone ( 필자는 iphone6 / 12.3.1 을 사용했으며 물론 탈옥이 되어있는 상태이다.) 3. frida 다시 본론으로. python3 버전을 설치하면 자동으로 환경변수가 등록된다. + pip 도 가능하다. 먼저 pip 로 frida 를 설치해준다. C:\Users\pental>pip install frida frida를 설치 했다면, 본인의 아이폰을 컴퓨터에 연결후 C:\Users\pental>frida-ps -U 입력해주..