Forensics
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
[ios Forensics] 아이폰 Keychain 포렌식 (KeyChain Forensics)
2020.01.01필자는 오늘 Iphone KeyChain Forensics를 진행하였다. 먼저 아이폰의 회사, 즉 애플의 말에 따르면, 아이폰에 있는 Keychain은 Application에서 사용하는 User Name, Password, Network Password, Auth Token 등 민감한 정보를 저장하는데 사용하는 안전한 저장소라고 한다. 애플 자체적으로도 Wi-fi 네트워크 패스워드나 VPN 자격 증명을 저장하는데 Keychain을 사용하고 있다. 암호화된 sqlite 데이터베이스 파일로 /private/var/Keychain/keychain-2.db 에 저장된다. 그럼 어떻게 추출하는가? Keychain Dumper를 이용해서 keychain을 분석한다. https://github.com/ptoomey3..
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)
2019.12.20아이폰 SMS 포렌식이다. DB 를 추출하는 방법은 아래를 참고 하면 된다. https://blog.system32.kr/66 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를.. blog.system32.kr 아이폰 SMS 경로는 https://blog.system32.kr/65에 상세히 적혀 있으니 참고 하도록 하자. /var/mobile/Library/SMS DATE 로 바꾸는 사이트 입니다. 먼저 ..
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
2019.12.20아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를 통해서 사용해도 된다.) // scp 방법으로 추출은 따로 포스팅 하겠다. DB Browser for SQLite (https://sqlitebrowser.org/) 먼저 ifunbox를 통한 아이폰 Safari 포렌식이다. http://www.i-funbox.com/ iFunbox | the File and App Management Tool for iPhone, iPad & iPod Touch. iFunbox-Store iFun..
[ios Forensics] 아이폰 주요 경로 (Safari, Photo, Mail 등)
[ios Forensics] 아이폰 주요 경로 (Safari, Photo, Mail 등)
2019.12.20[ 주소록 저장 경로 ] /private/var/mobile/Library/AddressBook/AddressBook.sqlitedb [ 문자메시지 저장 DB ] /var/mobile/Library/SMS [ 이메일 헤더파일 저장 경로 ] /private/var/mobile/Library/Mail/POP-자신의 이메일주소/Deleted Messages.mbox/Messages /private/var/mobile/Library/Mail/POP-자신의 이메일주소/INBOX.mbox/Messages [ 사파리(Safari) 검색기록, 히스토리, 북마크 저장 경로 ] /private/var/mobile/Library/Safari [ 벨소리 경로 ] /private/var/stash/Ringtones.******..
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
2019.12.18필자는 오늘 Safari 프로세스를 덤프해서 포렌식을 진행해 볼것이다. 먼저 Frida-ps -U 명령어를 통해서 Safari의 PID가 무엇인지 확인한다. (저 명령어가 무엇인지 모른다면 https://blog.system32.kr/63 을 참고하기 바란다.) [ios Forensics] 아이폰 메모리 포렌식 - fridump 사용 필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다).. blog.system32.kr frida-ps -U 명령어를 통해서 현재 구동중인 프로세스들을 확인할 수 ..
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
2019.12.17필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다) 2. iphone ( 필자는 iphone6 / 12.3.1 을 사용했으며 물론 탈옥이 되어있는 상태이다.) 3. frida 다시 본론으로. python3 버전을 설치하면 자동으로 환경변수가 등록된다. + pip 도 가능하다. 먼저 pip 로 frida 를 설치해준다. C:\Users\pental>pip install frida frida를 설치 했다면, 본인의 아이폰을 컴퓨터에 연결후 C:\Users\pental>frida-ps -U 입력해주..
[Digital Forensics] "압수 수색"에 대해 알아보기
[Digital Forensics] "압수 수색"에 대해 알아보기
2019.11.24먼저 압수의 대상을 확인해야 한다. 압수의 대상 中 전자적 기록은 가시성과 가독성을 갖추지 않은 무형정보 압수 · 수색의 대상이 될 수 있는가에 대한 논의가 있다. 현행 형사소송법 제106조 1항의 경우 압수 · 수색의 대상을 증거물 or 몰수물이라고 정의 증거물 = 일반적으로 ‘강제적으로 점유이전의 처분에 당하여 대체성이 없고 물리적으로 관리 가능한 유체물’ (Q. 실질적으로 압수 가능한 것일까?) 개정 형사소송법을 보면 제106조 3항은 ‘법원의 압수 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장 매체(이하 이 항에서 ’정보저장 매체 등’이라고 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제해 제출받아야 한다.' 하지만 범위를 정하고 출력 또는 복제하는 방법이 불가능하거나 압..
#1 Magnet AXIOM - First Use
#1 Magnet AXIOM - First Use
2018.09.10[ Magnet 회사의 AXIOM 포렌식 프로그램 ]Magnet AXIOM Forensic Program 먼저 필자는 수많은 포렌식 프로그램을 써보았지만, 모두 무료 포렌식 프로그램이었습니다. FTK Imager, AutoPSY등등 수많은 프로그램을 사용해 보았지만, 기회가 되어서 Magnet AXIOM 라이센스를 얻게되었습니다. > First, I've written a lot of Forensic programs, but they were all free. I've tried a lot of programs like FTK Imager, AutoPSY, and so on, but I got a chance to get a Magnet AXIOM license. Magnet AXIOM 포렌식 프로그램을..