Forensic Artifacts
- Cloud Services
Apple iCloud
개요
- Apple 기기 사용을 위해 기본적으로 1개 이상의 계정 생성 필요
- 계정 생성시 데이터 백업을 위한 5GB 용량 기본 제공
- Apple Device를 다수 사용하는 경우 iCloud를 이용한 데이터 공유가 자유로움
- iCloud에 백업된 데이터를 이용하여 Apple Device가 바뀌더라도 데이터는 유지 및 복구 가능
포렌식 관점
iCloud를 이용하여 백업 / 공유된 모든 데이터 정보 획득가능
KeyChain 수집을 통해 사용자가 접속한 웹사이트 계정정보 확인 가능
Mobile Backup 등 파일 수집 후 어플리케이션 정보 획득 가능 ( 채팅 어플의 대화내용 등 )
[ 잠재적 클라우드 증거 로드 ] 텝을 이용해 수집된 클라우드 서비스 목록을 확인할 수 있습니다.
동일한 Case에 Apple iCloud 정보를 추가합니다.
증거 소스 선택에서 [ Apple ]을 선택합니다.
[ 토큰 정보 또는 사용자 이름 및 암호]를 이용하여 iCloud에 접근할 수 있습니다.
사용자 계정을 사용하는 경우 Apple ID와 비밀번호를 입력합니다.
iCloud 접근은 기본적으로 2FA 인증을 요구합니다. 동일 계정정보로 사용중인 Apple Device에서 해당 핀(Pin)번호를 확인할 수 있습니다.
iCloud에 접근 성공 후 수집가능한 아티팩트 정보를 확인합니다.
iCloud에 백업되어있는 Mobile 기기의 정보입니다. 모바일 기종과 백업한 기간을 확인할 수 있습니다.
Apple Computer를 사용하는 경우 작업하거나 저장한 사용자의 문서 등의 데이터가 백업된 정보입니다.
수집할 항목을 모두 선택합니다.
검색창에서 [ iCloud ]를 검색하여 필요한 아티팩트만 필터링 후 선택합니다.
데이터 복구 여부를 선택할 수 있습니다.(Cloud Service에서는 아티팩트만 분석)
증거 분석 진행 버튼을 클릭하여 iCloud 정보를 추출합니다.