Forensic Artifacts
- Mac OS Forensics vt
Apple Notes
macOS Apple Notes
About Apple Note
- iOS와 macOS 에서 제공되는 메모 어플리케이션
- iCloud로 연동된 기기간 메모 파일 공유 가능
- Evernote 기능을 활용하여 여러 사람이 동시에 노트 작업 가능
Apple Notes 포렌식적 관점
- 한 대의 Apple 기기를 수집하면 다른 기기에서 작성한 노트 정보까지 수집 가능(iCloud 연동 이용)
macOS Apple note 어플리케이션 사용 화면입니다.
icloud를 이용하여 Apple Note 백업이 활서와 되어 있는 것을 확인할 수 있습니다.
icloud.com에 로그인 후 백업되어 있는 Apple Note 항목을 확인할 수 있습니다.
테블릿, 스마트폰, 맥북 등 Apple 기기를 이용하여 작성된 Apple Note 항목을 확인할 수 있습니다.
AXIOM을 통해 수집된 Apple Note 데이터를 확인할 수 있습니다.
Filesystem Explorer를 이용하여 원본 Database 파일인 [ NoteStore.sqlite ] 항목을 확인할 수 있습니다.
해당 파일은 SQLFormat3 타입의 파일입니다.
MAGNET AXIOM의 [ 소스 정보 보기를 통해 ] SQLDB의 어떤 테이블에서 정보를 추줄했는지 확인할 수 있습니다.
MAGNET AXIOM의 경우 다양한 형식의 파일을 보기위한 뷰어를 제공합니다. 대표적으로 .Plist, SQLDB, XML, Json등이 있습니다.
MAGNET AXIOM의 소스보기를 통해 확인된 테이블 정보를 분석하면 원본 파일 형식의 데이터를 확인할 수 있습니다.
