저미 보안공부

DM 1. 채팅방 당 메시지 개수 경로 : User App Files/com.burbn.instagram/Library/Application Support/DirectSQLiteDatabase/.db 의 message 테이블(30876..) - 채팅방 수: 26개, 전체 메시지 수: 357개, 평균 메시지 수: 13.5개, 최대 메시지 수: 21개, 최소 메시지 수: 2개(63288..) - 채팅방 수: 24개, 전체 메시지 수: 242개, 가장 빈도 높은 메시지 수: 11개(24개 중 16개 채팅방), 최대 메시지 수: 21개, 최소 메시지 수: 1개 2. 메시지 파싱 1) 설치 모듈pip install biplist : iOS/macOS에서 사용하는 .plist(Binary Property List..

Analysis 1. User App Files/com.burbn.instagram/Documents/ - analytics/loom/config/configuration.json : 앱 내부에서 사용하는 Loom 분석 시스템의 설정 파일. Loom은 Meta에서 만든 고성능 비동기 로깅 및 퍼포먼스 분석 프레임워크- locales/264.3.0.19.104_432065435/ko.lproj/ : 앱의 한국어 UI 언어 리소스 파일. 2. User App Files/com.burbn.instagram/Library/Application Support//- autocomplete/blended_search_audio_recent.plist : Instagram의 오디오 관련 최근 검색 기록을 저장하는 자동..

Review 1. Instant Messenger에서 SQLite의 메타데이터를 이용한 메시지 복구 기법 1) SQLiteSQLite는 일반적인 관계형 데이터베이스와 비교했을 때 크기가 작고 가볍고, 하나의 파일로 모든 데이터를 저장한다는 특징이 있다. 서버 없이도 작동하며, 이로 인해 모바일 기기의 애플리케이션에서 매우 적합한 구조를 가지고 있다. 그러나 보안 측면에서는 제약이 존재하며, 포렌식 분석에서는 이러한 특성이 중요한 단서가 되기도 한다.- 파일 구성 개요 : SQLite 파일은 페이지 단위(page-based)로 구성되며, 각 페이지는 특정 역할을 수행한다. 파일 크기는 16번째 바이트의 오프셋에서 2바이트 값을 읽어 계산할 수 있다. 파일의 처음 100바이트는 헤더 영역(Header) 으로..

Accounts3.sqliteiCoude 로그인 정보, 로그인된 Apple ID와 앱 계정 정보 등 ZACCOUNT - 계정 기본 정보ZOWNINGBUNDLEID : 이 계정을 사용하는 앱의 Bundle ID / com.apple.account 로 시작하는 건 시스템 계정ZACCOUNTDESCRIPTION : 사용자가 설정한 계정 이름/설명ZAUTHENTICATIONTYPE : 인증 방식 (값이 PARENT - 특정 계정이 다른 계정에 종소_ZIDENTIFIER : 계정 고유 IDZDATE : Apple Timestamp + 978307200 = Unix Timestamp ZACCOUNTPROPERTY - 계정의 부가 속성ZKEY : 해당 속성이 어떤 정보인지ZVALUE : 실제 값 ZACCOUNTTY..

Physical Imaging vs Full File System Physical Imaging디스크 자체를 비트 단위로 복제빈 공간 포함되어 삭제된 파일 복구 가능성 있음 분석 어려움디바이스 전체 크기만큼의 크기를 가짐 RAW 데이터 Full File System파일 단위로 깔끔하게 정리된 전체 백업 앱 데이터, 사용자 로그, 설정, 행동 기록 등 분석 가능 사용 중인 데이터만큼의 크기를 가짐 전체 디렉토리를 복사해온 것 같이 실제 경로 구조를 보존삭제된 파일, 빈 공간은 없음 디스크 암호화 iOS는 기본적으로 모든 데이터를 암호화하여 디스크에 저장함FBE(File-based Encryption) : 각 파일이 개별적으로 암호화됨 FDE(Full Disk Encryption) : 하나의 키로 전체..

( ᵕ·̮ᵕ ) ⁾⁾Physical Imaging지난 지난에 총 7가지 방법을 진행했는데, 2GB로 나눠서 전송한 6번 방법만 성공함근데 다시 파일을 확인해보니, dd 명령어로 이미징 후 저장한 위치에 16KB 정도 파일이 저장되어 있길래 한 번 다시 시도해보기로 함 0. 준비 환경탈옥한 iPhone 6 (ios 12.5.7) 기기를 (c to 8) 케이블을 통해 PC와 연결 후 3uTools SSH Tunnel을 통해 실행 PC의 IP 주소는 ###.###.##.204 : PuTTY를 통해 관리자 권한으로 실행 (administrator)저장 위치는 D:\iOS\ffs_dd 1. PC) Nmap의 ncat 사용administrator@JEOMI D:\iOS\ffs_dd>"C:\Program Fil..

Logical Imaging 과정 0. iPhone 6 (ios 12.5.7) 기기 준비. 백업 전 iTunes의 자동 동기화를 비활성화. 1. USB 케이블을 사용하여 PC와 iPhone 6 기기 연결 2. PC에서 iTunes를 실행하고 아이폰 아이콘을 클릭하면, 연결된 기기의 정보를 확인할 수 있음.3. 백업 섹션에서 '이 컴퓨터' , '지금 백업'을 클릭하여 백업 시작. 로컬 백업 암호화는 해제하는 것을 권장. 4. 백업 완료 후 ( C:\Users\dnwjd\AppData\Roaming\Apple Computer\MobileSync\Backup ) 위치에서 백업 데이터 확인. 총 256개의 하위 폴더를 확인할 수 있음. 1. 백업 파일 구조iTunes 백업 폴더에는 40자리 SHA-1 해시 ..

APFS(Apple File System) 1. 특징HFS+를 대체하는 Apple의 차세대 파일 시스템*SSD/플래시 저장 장치에 최적화iOS 10.3 이상부터 지원 (2017) 2. 주요 기능*스냅샷 : 특정 시점의 파일 시스템 상태를 저장하여 빠른 백업/복구 가능. *CoW 방식으로 변경사항만 기록. *강화된 암호화 : 파일별, 메타데이터별 등 개별 암호화 지원. File Key는 파일 내용만 암호화, Class Key는 파일 접근 권한과 관련된 정보를 암호화. 공간 활용 : 여러 볼륨이 하나의 파티션 공간을 공유. 64비트 *inode로 대용량 저장소와 수십억 개의 파일 처리 가능성능과 안정성 : 파일 복사, 이동, 삭제가 매우 빠름. 원자성 보장으로 데이터 무결성 유지 *추가 설명1) 플래시..