iOS 모바일 포렌식

ios 모바일 포렌식

모바일 기기의 주요 데이터는 다음과 같다.

-휴대폰 기록

전화번호부, 문자메시지(SMS, MMS), 송수신 통화기록

-응용 프로그램 기록

문서작업(작성, 열람, 전송), 웹브라우저(주요 접속 사이트, 접속 기록, 검색 기록), 이메일(송, 수신 상대, 메일 내용, 전송시간)

자동 로그인 정보, 대화 내역, 사진/동영상(촬영 시각, 장소, GPS)

 

이러한 데이터를 수집하는 방법을 알아본다.

아이폰에서의 데이터 수집 방법은 크게 2가지이다.

탈옥이라 불리는 Jailbreaking 방법과 iTunes 백업 기능을 이용한 방법이다.

Jailbreaking 방법은 IOS 4.0 이후로 파일 데이터가 암호화 되어 데이터 복원이 불가하다.

이 방법은 논리적 접근을 통해 파일 취득만 가능하다. 

 

iTunes에서는 백업을 지원하고 있고, 역시 암호화되지 않은 백업은 주요 개인 정보가 제외되어 정보가 제한된다.

운영체제에 따라 백업 데이터 저장 경로가 다르다.

Mac OS : ~/Library/Application Support/MobileSync/Backup/

Windows XP : %UserProfile%\Application Data\Apple Computer\MobileSync\Backup

Windows Vista : %UserProvile%\AppData\Roaming\Apple Computer\MobileSync\Backup

 

아이폰 기기의 고유한 장치 값인 UDID 값으로 폴더가 생성되고 저장된다. 

저장되는 백업 파일과 데이터 형식은 다음과 같다.

메타 데이터는 .mdinfo 파일 컨텐츠는 .mddata로 저장된다. 

아이폰은 대부분의 데이트를 SQLite3과 plist로 관리하고 있고 SQLite3은 삭제된 데이터도 복원이 가능하다.

 

주요 정보 경로를 살펴보면 다음과 같다.

일정 : Library/Calendar/Calendar.sqlitedb

연락처 : Library/Addressbook/AddressBook.sqlitedb

통화목록 : Library/CallHistory/call_history.db

SMS/MMS : sms.db

사파리 웹 브라우저 사용 정보 : Library/Safari/History.plist

응용 프로그램 (카카오톡 대화내역) : Talk.sqlite

응용 프로그램 (트위터) : com.atebits.tweetie.streams

 

이러한 백업을 진행해주는 웹 사이트가 존재한다. 

iPhone Backup Extractor 라는 웹 사이트가 있고

무료로 진행하면 4개의 파일만 복구를 해주고 값을 더 지불해야 전체를 복구해준다.