[iOS Forensics] iPhone 메모장 포렌식 (메모 내용 추출)
오늘은 iPhone에 저장되어있는 메모장에 저장되어 있는 내용들을 추출해서 분석해 보도록 하겠습니다.
먼저 저는 iPhone6 / 12.3.1 / JailBreak 을 사용하였습니다.
먼저 메모가 저장되어 있는 위치는 아래와 같습니다.
\private\var\mobile\Containers\Shared\AppGroup\[AppID]\NoteStore.sqlite
테이블 구조는 위 사진과 같습니다.
ACHANGE, ATRANSACTION, ATRANSACTIONSTRING, ZICCLOUDSTATE, ZICCLOUDSYNCINGOBJECT, ZICLOCATION 등등이 존재 합니다.
저장한 메모의 문자열은 ZICCLOUDSYNCINGOBJECT 테이블의 ZTITLE1 칼럼에 존재합니다.
위 사진을 보면 문자열이 저장된 것을 확인 할 수 있습니다.
메모가 작성된 시간, 마지막으로 수정한 시간은 다음 컬럼에서 파악할 수 있습니다.
ZCREATIONDATE1, ZFOLDERMODIFICATIONDATE, ZMODIFICATIONDATE1 에 Timestamp가 저장되어 있습니다.
이 Timestamp는 아래의 방식을 사용합니다.
Apple Cocoa Core Data Timestamp 를 따르고 있습니다.
coredata Timestamp -> DATE 로 바꾸는 사이트 입니다.
오늘은 아이폰 메모 포렌식에 대해서 살펴보았습니다.
감사합니다. 오탈자나 문의는 댓글을 통해서 남겨주세요!
'Forensics > Iphone Forensics' 카테고리의 다른 글
| [ios Forensics] 아이폰 카카오톡 포렌식 - 멀티프로필 분석하기 (1) | 2021.02.04 |
|---|---|
| [ios Forensics] 아이폰 카카오톡 포렌식 - #2 DB 복호화 (13) | 2020.10.05 |
| [ios Forensics] 아이폰 가려진 사진 포렌식 (iPhone Hide Photo Forensics) (4) | 2020.04.16 |
| [ios Forensics] 아이폰 카카오톡 포렌식 - #1 DB 추출 (0) | 2020.04.03 |
| [iphone] 아이폰 탈옥 가장 쉬운 방법! - Checkra1n 사용 (총정리 / 맥os 필요 X) (3) | 2020.04.03 |