[ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출
오늘은 아이폰에서 카카오톡 DB를 추출해 보도록 하겠습니다.
먼저 준비물입니다!
1. 아이폰 (탈옥되어있어야한다.)
2. 분석이 가능한 컴퓨터
3. 근성
위 세가지만 가지고 계시다면 충분히 카카오톡 포렌식을 할수 있다고 생각합니다!
바로 본론으로 들어가겠습니다.
먼저 탈옥된 아이폰은 컴퓨터와 연결해줍니다.
iFunBox 같은 프로그램을 통해서 데이터 베이스를 추출할겁니다.
iFunBox의 사용법과 설치 방법은 아래 링크를 참조해주세요!
https://blog.system32.kr/66?category=824834
[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.) ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를..
blog.system32.kr
연결이 완료 되었다면 위 사진과 같이 표시될것이며 Jailbroken이라고 출력이 되게 됩니다.
빠른 도구 상자를 선택한후 원시 파일 시스템 으로 접근해 줍니다.
그후 아래 경로를 찾아서 들어갑니다.
\private\var\mobile\Containers\Data\Application\[App-ID]\Library\PrivateDocuments\Message.sqlite위 경로에서 [App-ID]의 경우는 사용자의 상황에 따라 다르기때문에 잘 확인해주시기 바랍니다.
대부분 숫자로 이루어져있으며, 마지막으로 사용한 시각은 아시면 그 시간에 맞는 폴더를 찾으시면 됩니다.
카카오톡 폴더 자체를 복사해줍니다.
필자의 경우 이미징을 해둔 파일이 있어서 폴더만 복사했습니다.
위와 같이 복사가 되었다면 이제 분석을 시작해 보도록 하겠습니다.
\private\var\mobile\Containers\Data\Application\[App-ID]\Library\PrivateDocuments\Message.sqlite
먼저 위 경로를 찾아 들어가 Message.sqlite 파일을 DB Viewer을 통해서 열어줍니다.
필자의 경우 DB Browser for SQLite 프로그램을 사용하였습니다.
위 사진은 Message.sqlite 파일의 테이블 구조입니다.
AlimTalk, ChangeAccounts, DecryptionMessage, LostMarks, Message, SendingMessage, Sqlite_sequence 테이블로 구조화 되어있습니다.
Message 테이블을 찾아서 들어가줍니다.
위와 같이 message 레코드에 암호화 되어서 메시지가 저장되어 있는것을 확인 할 수 있습니다.
복호화 방법은 다음 편에서 찾아 뵙도록 하겠습니다!
추가적인 문의나 오탈자는 아래 댓글에 남겨주세요!