[ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크)
아이폰 Safari 포렌식이다. (그닥 어렵지 않다.)
[ Requirement ]
iphone with jailbreak (필자는 iphone6 / 12.3.1 사용중이며 Checkra1n으로 탈옥하였다.)
ifunbox (필자는 ifunbox 를 사용하였지만 그냥 scp를 통해서 사용해도 된다.) // scp 방법으로 추출은 따로 포스팅 하겠다.
DB Browser for SQLite (https://sqlitebrowser.org/)
먼저 ifunbox를 통한 아이폰 Safari 포렌식이다.
iFunbox | the File and App Management Tool for iPhone, iPad & iPod Touch.
iFunbox-Store iFunbox-Store divided into "application store" and "game center" two modules,iFunbox-Store will be based on your favorite games or interested in the application, for you to recommend more new, strange, special application. There are some exce
www.i-funbox.com
위 사이트에서 ifunbox 를 다운받을수 있다. (설치는 당연히 할줄 알고 생략한다.)
ifunbox 를 실행하면 위와 같은 화면이 뜨게 된다. usb 를 통해서 탈옥된 아이폰을 연결시켜 준다.
여기 까지 들어왔다면 왼쪽 중간에 있는 빠른 도구 상자를 선택해준다.
빠른 도구 상자를 선택한후 원시 파일 시스템 으로 접근한다.
원시 파일 시스템으로 접근했다면, /private/var/mobile/Library/Safari 경로로 접속하면 Bookmarks.db, CloudTabs 등의 데이터베이스 파일을 확인할 수 있다.
파일을 모두 드래그 한후 PC에 복사 버튼을 클린한후 사용자가 원하는 폴더에 저장해 준다.
아이폰 Safari DB가 모두 추출되었다.
먼저 북마크를 확인해 보기 위해 DB Browser for SQLite 프로그램을 통해서 Bookmarks.db를 열어준다.
데이터 보기 탭으로 들어가 Table 을 Bookmarks로 변경해준다.
필자는 system32.kr 을 북마크로 저장해뒀다. 정상정으로 북마크가 보이는 것을 확인 할 수 있다.
다음은 히스토리를 포렌식 해보자.
위와 똑같은 방식으로 CloudTabs.db 를 열은 후 테이블을 cloud_tabs 로 교체해주자.
필자는 구글에 Search1 이라는 것을 검색한 적이 있었다.
하지만 Search2, Seacrh_comeplete 도 검색했었는데 기록이 확인 되지 않았다.
조금더 세세한 삽질이 필요할거 같다는 생각이 든다.
https://blog.system32.kr/104?category=824834
[ios Forensics] 아이폰 Safari 포렌식 - 방문기록, 히스토리
https://blog.system32.kr/66?category=824834 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.) [ Requirement ] iphone with jailbreak (필자는 iphone..
blog.system32.kr
위 링크를 통해서 자세히 알아볼수 있습니다!
다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)