티스토리

포렌식 & 개발 이야기 - Forensics & Development

검색하기

MAGNET Axiom - IOS Forensics #3 채팅 분석

Forensics/Magnet AXIOM

MAGNET Axiom - IOS Forensics #3 채팅 분석

pental 2020. 1. 9. 14:16

채팅분석 #1 - iOS iMessage/SMS/MMS 분석입니다. 2020-01-09

필자는 100% 검사를 대략 2시간만에 완료했습니다. (아이폰6)

아티팩트를 살펴 보니 18,446개의 증거파일이 존재한다고 합니다.

먼저 채팅관련부분을 살펴보겠습니다.

채팅 관련 부분에서는 IOS IMessage/SMS/MMS 등을 파악할수 있었습니다.

먼저 범주로는 보낸사람, 메시지, 메시지 보낸 날짜/시간, 받는사람, 유형, 상태, 메시지 배달 날짜/시간, 메시지를 읽은 시간, 첨부파일, 첨부파일 복구됨, Sent By Siri, 소스, 복구방법, 삭제된 출처, 위치 등을 파악할수 있습니다.

자세히 알아보도록 하겠습니다.

1. 보낸사람 : 즉 말그대로, 보낸사람의 이메일 명 또는 전화번호를 표시합니다.

2. 메시지 : 메시지의 내용을 담고 있습니다.

3. 메시지 보낸 날짜/시간 : 보낸 시간을 날짜, 시분초 형식으로 파악 가능합니다.

4. 받는사람 : 메시지를 받는 사람을 나타냅니다.

필자의 경우 Local로 메시지를 보내서 Local User로 표시된다. / 다른 사람의 전화번호로 보냈을 경우 전화번호가 나타납니다.

5. 유형 : iMessage, SMS, MMS 인지 파악합니다.

6. 상태 : 메시지를 읽었는지, 메시지를 읽지 않았는지 파악합니다.

아마 메시지를 보냈고 읽었다면, Received and Read, 보내기만 하고 상대방이 읽지 않았다면, Received일것이라 추측됩니다.

7. 메시지 배달 날짜 / 시간

잘 모르겠습니다. 아는 사람이 있다면, 댓글에 써주면 감사하겠습니다.

8. 메시지 읽은 날짜 / 시간 : 메시지를 상대방이 읽은 시간을 나타냅니다.

필자의 경우 2020-01-01 AM 9:09:18초에 메시지를 보냈고(3번확인), 3초뒤 Local iPhone에 전달이 되고 읽어졌습니다.

메시지를 보내고 받는데 걸린 시간은 대략 3초 가량입니다.

9 ~ 11. 첨부파일, 첨부파일 복구됨, Sent By Siri : 말 그대로입니다.

첨부파일이 있을경우 : 첨부파일의 명(파일명).

첨부 파일 데이터 복구됨 : 첨부파일이 삭제되었을 경우 카빙하는것으로 추측됩니다.

Sent By Siri : 시리를 불러 메시지를 보냈을 경우 표시되는것으로 추측됩니다.

12. 소스 : SMS 데이터 베이스 위치, 즉 추출한 메시지의 위치를 나타냅니다.

필자의 경우 /User/Library/SMS/sms.db 에서 추출해서 분석해준거 같습니다.

13. 복구방법 : 말그대로 증거를 찾은 방법입니다. 두가지로 나뉘어 집니다. (파싱된, 카빙)

필자의 2020-01-01 AM 9:09:18초에 보내진 메시지를 Magnet AXIOM에서는 파싱을 해서 증거로 나타내 주었습니다.

하지만 필자는 메시지를 삭제한 것도 있다. 과연 그건 어떻게 표시될까요?

삭제된 메시지도 복구가 가능했습니다. 바로 카빙 기능입니다. 카빙의 용어를 모른다면 구글에 검색해보도록 합시다.

14. 삭제된 출처

잘 모르겠습니다. 아는 사람이 있다면, 댓글에 써주면 감사하겠습니다.

15. 위치 : 메시지가 존재했던 테이블의 위치를 보여줍니다.

필자의 2020-01-01 AM 9:09:18 초에 보냈던 메시지는

Table chat_message_join에 있었다고 합니다. 정말 그런지 아래 포스팅에서 확인해 보면 좋겠습니다.

https://blog.system32.kr/67?category=824834

[ios Forensics] 아이폰 문자 포렌식 (SMS Forensics)

아이폰 SMS 포렌식이다. DB 를 추출하는 방법은 아래를 참고 하면 된다. https://blog.system32.kr/66 [ios Forensics] 아이폰 Safari 포렌식 (히스토리, 북마크) 아이폰 Safari 포렌식이다. (그닥 어렵지 않다.)..

blog.system32.kr

카빙된 메시지는 이렇게 표시됩니다.

보고서를 내보낼수 있습니다.

CSV / EXCEL / HTML / Magnet REVIEW / PDF 등으로 보고서를 내보낼수 있습니다.

한번 생성해서 확인해 보겠습니다.

일단 한글 폰트,, 아주 좋습니다 :(

보고서는 위 처럼 레코드 별로 저장되어 있습니다. 보고서 만들기에는 아주 용이하고 좋네요,,

이래서 유료 포렌식 도구를 사용하나 싶습니다..

도움을 주신 분들께 모두 감사의 말을 전합니다. :)

다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)

저작자표시