ios forensics
[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
2020.04.21오늘은 iPhone에 저장되어있는 메모장에 저장되어 있는 내용들을 추출해서 분석해 보도록 하겠습니다. 먼저 저는 iPhone6 / 12.3.1 / JailBreak 을 사용하였습니다. 먼저 메모가 저장되어 있는 위치는 아래와 같습니다. \private\var\mobile\Containers\Shared\AppGroup\[AppID]\NoteStore.sqlite 테이블 구조는 위 사진과 같습니다. ACHANGE, ATRANSACTION, ATRANSACTIONSTRING, ZICCLOUDSTATE, ZICCLOUDSYNCINGOBJECT, ZICLOCATION 등등이 존재 합니다. 저장한 메모의 문자열은 ZICCLOUDSYNCINGOBJECT 테이블의 ZTITLE1 칼럼에 존재합니다. 위 사진을 보면 문..
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
[ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics)
2020.04.16오늘은 아이폰 기본 기능 중 "가리기" 기능을 통해서 가려진 사진도 포렌식이 되는지 확인해 보도록 하겠습니다. 가리기 기능은 갤러리에서 사진을 선택후 옵션 버튼을 통해서 가리기를 사용할 수 있습니다. 먼저 저는 6개의 사진을 가려보았습니다. 이제 분석을 진행해 보도록 하겠습니다. 먼저 Axiom을 실행시켜주고, 새로운 케이스 생성을 클릭해줍니다. 케이스 번호와, 케이스 유형, 파일 경로, 스캔한 사람에 대해서 작성해 주고, 증거 소스로 이동해 줍니다. 저는 미리 이미징을 떠두지 않고, 이미징과 동시에 분석을 진행해 보려고 합니다. 아이폰을 연결하고, 위 사진과 같이 증거를 탑재합니다. 아이폰이 탈옥이 되어 있다면, 전체 이미징 기능이 활성화 되있을 것입니다. 하지만 탈옥이 되어 있지 않다면, 빠른 이미징..
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
2020.03.05[ Magnet Axiom Process ] (Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company! 참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다! 중요한 단계만 보려면 굵은 글씨를 따라가도록 하자. 필자는 저번 시간에 이미지 수집을 위한 모바일 장치 준비에 대해서 다뤘었다. 오늘은 이미징 모바일 장치에 대해서 다루도록 하겠습니다. 모바일 장치를 이미징 하기 전에 장치를 올바르게 준비했는지 확인하자. 더욱 상세한 정보를 알아보려면 "이미지 수집을 위한 모바일 장치 준비"을 참고하도록 하자 수집할 수 있는 이미지에는 두 가지 유형이 있습니다. 빠른 이미지는 사용..
MAGNET Axiom - IOS Forensics #3 채팅 분석
MAGNET Axiom - IOS Forensics #3 채팅 분석
2020.01.09채팅분석 #1 - iOS iMessage/SMS/MMS 분석입니다. 2020-01-09 필자는 100% 검사를 대략 2시간만에 완료했습니다. (아이폰6) 아티팩트를 살펴 보니 18,446개의 증거파일이 존재한다고 합니다. 먼저 채팅관련부분을 살펴보겠습니다. 채팅 관련 부분에서는 IOS IMessage/SMS/MMS 등을 파악할수 있었습니다. 먼저 범주로는 보낸사람, 메시지, 메시지 보낸 날짜/시간, 받는사람, 유형, 상태, 메시지 배달 날짜/시간, 메시지를 읽은 시간, 첨부파일, 첨부파일 복구됨, Sent By Siri, 소스, 복구방법, 삭제된 출처, 위치 등을 파악할수 있습니다. 자세히 알아보도록 하겠습니다. 1. 보낸사람 : 즉 말그대로, 보낸사람의 이메일 명 또는 전화번호를 표시합니다. 2. 메시..
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
[ios Forensics] 아이폰 메모리 포렌식 - Safari 프로세스 #1
2019.12.18필자는 오늘 Safari 프로세스를 덤프해서 포렌식을 진행해 볼것이다. 먼저 Frida-ps -U 명령어를 통해서 Safari의 PID가 무엇인지 확인한다. (저 명령어가 무엇인지 모른다면 https://blog.system32.kr/63 을 참고하기 바란다.) [ios Forensics] 아이폰 메모리 포렌식 - fridump 사용 필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다).. blog.system32.kr frida-ps -U 명령어를 통해서 현재 구동중인 프로세스들을 확인할 수 ..
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
[ios Forensics] 아이폰 메모리 포렌식 - fridump 사용
2019.12.17필자는 1주일 동안 해매다 드디어 아이폰 메모리 덤프를 성공했다. [ Requirement / 요구사항 ] 1. python 3.x ( python2.7 보다 python3.x 버전을 추천한다 ) ( https://python.org // 여기서 다운로드 가능하다) 2. iphone ( 필자는 iphone6 / 12.3.1 을 사용했으며 물론 탈옥이 되어있는 상태이다.) 3. frida 다시 본론으로. python3 버전을 설치하면 자동으로 환경변수가 등록된다. + pip 도 가능하다. 먼저 pip 로 frida 를 설치해준다. C:\Users\pental>pip install frida frida를 설치 했다면, 본인의 아이폰을 컴퓨터에 연결후 C:\Users\pental>frida-ps -U 입력해주..