[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
2020.04.21오늘은 iPhone에 저장되어있는 메모장에 저장되어 있는 내용들을 추출해서 분석해 보도록 하겠습니다. 먼저 저는 iPhone6 / 12.3.1 / JailBreak 을 사용하였습니다. 먼저 메모가 저장되어 있는 위치는 아래와 같습니다. \private\var\mobile\Containers\Shared\AppGroup\[AppID]\NoteStore.sqlite 테이블 구조는 위 사진과 같습니다. ACHANGE, ATRANSACTION, ATRANSACTIONSTRING, ZICCLOUDSTATE, ZICCLOUDSYNCINGOBJECT, ZICLOCATION 등등이 존재 합니다. 저장한 메모의 문자열은 ZICCLOUDSYNCINGOBJECT 테이블의 ZTITLE1 칼럼에 존재합니다. 위 사진을 보면 문..