05 Artifact Analysis of iOS Default Apps

Accounts3.sqlite

iCoude 로그인 정보, 로그인된 Apple ID와 앱 계정 정보 등 

 

ZACCOUNT - 계정 기본 정보

ZOWNINGBUNDLEID : 이 계정을 사용하는 앱의 Bundle ID / com.apple.account 로 시작하는 건 시스템 계정

ZACCOUNTDESCRIPTION : 사용자가 설정한 계정 이름/설명

ZAUTHENTICATIONTYPE : 인증 방식 (값이 PARENT - 특정 계정이 다른 계정에 종소_

ZIDENTIFIER : 계정 고유 ID

ZDATE : Apple Timestamp + 978307200 = Unix Timestamp

 

ZACCOUNTPROPERTY - 계정의 부가 속성

ZKEY : 해당 속성이 어떤 정보인지

ZVALUE : 실제 값

 

ZACCOUNTTYPE - 계정의 타입 정보

 

AddressBook.sqlitedb

연락처. 사용자가 저장한 전화번호 목록, 저장 일시, 이메일, 회사, 메모 정보

 

ABPerson - 연락처 개별 인물 정보

 

ABMultiValue - 각 연락처의 전화번호, 이메일, 주소 등 속성

label : 전화번호인지, 이메일인지

value : 실제 데이터

 

CallHistory.storedata

통화기록 데이터. 통화 대상, 시간, 부재중 또는 수신 여부. 

Apple의 binary plist-backed SQLite 포맷 사용 - 툴 필요

 

ZCALLRECORD - 통화 기록 메인

ZHANDLE - 통화 상대 정보

 

notes.sqlite

메모 앱 데이터 

 

ZNOTE - 메모 메인 정보

ZNOTEBODY - 메모의 실제 텍스트 내용

 

Photos.sqlite

사진의 메타데이터(생성일, 위치 등)

 

ZADDITIONALASSETATTRIBUTES - 해상도, EXIF, 카메라 정보 등

ZGENERICALBUM - 앨범 정보

 

Bookmarks.db

safari 북마크 기록, 마지막 접속 시각 

 

bookmarks - 즐겨찾기 및 히스토리

title : 북마크 제목

url : 저장된 웹 주소

parent : 폴더 구조 (0이 최상위)

 

sms.db

메시지 데이터. 주고 받은 사람, 시간, 수발신 여부 

 

message - 메시지 핵심 내용

text : 메시지 내용

date : 발신/수신 시각

is_from_me : 1 내가 보낸 메시지, 0 내가 받은 메시지

handle_id : 상대방 ID

cache_has_attachments : 첨부파일 여부

service : iMessage, SMS 등

 

handle - 메시지 상대

id : 상대방 전화번호

service : iMessage, sms 구분

country : 국가 코드