2023. 2. 9. 20:00ㆍ포렌식/iOS 포렌식
/Library/Caches
앱 캐시 데이터. 각 앱은 앱이름과 번들 이름이 매치되는 서브디렉토리에 캐시가 저장된다.
App 이름: Camera, 번들 이름 : com.apple.Camera 라면, 캐시 파일은 /Library/Caches/com.appl.Camera/에 저장된다.
/Library/LaunchDaemons
root권한으로 실행시킬 데몬을 정의한다.
LaunchAgents : 현재 로그인한 사용자의 권한으로 실행시킬 특정 에이전트 앱
Logs : 콘솔과 특정 시스템 서비스에 대한 로그 파일. 사용자도 볼수있음
RegionFeatures : 기기에 대한 공유 dll
/etc/racoon: racoon 이란 IPsec의 IKE 키관리 데몬이다. racoon.conf는 racoon의 ISAKMP 데몬에 대한 설정파일로, 키 생성을 위한 보안협상에 대한 내용을 담고 있다.
psk.txt는 보안협상을 거쳐 생성된 키를 기록하고 있다.
/private : 개인 사용자 디렉토리
해당 기기에만 해당하는 정보가 저장된다.
/etc, /tmp, /var 디렉토리는 각각 이 디렉토리 내의 하위 디렉토리들의 ‘심볼릭 링크 (symbolic link)’ 다.
/private/preboot 디렉토리
APFS 부팅을 위한 디렉토리. mac Os High Seirra로 업데이트하면서 생겼다고 함.
이 디렉토리의 하위 디렉토리인 /이상한 문자열/System/Library/Caches 안에는
com.apple.factorydata와 com.apple.kernelcaches가 있는데,
전자는 크래쉬 리포트를 디버깅하고 분석하기 위해 사용한다.
/private/xarts
This folder is the mount point for /dev/disk0s1s3 (as of iOS 13) and holds a .gl file. The purpose of the file is unknown.
/private/var : disk0s1s2의 마운트 포인트, 즉 데이터 파티션
모든 앱스토어 데이터와 설정, 사진, 그외 유저데이터가 여기에 저장된다.
iOS 1.1.3이전에는 이 디렉토리의 데이터가 /private/var/root에 저장되었지만 보안상의 이유로 1.1.3이후 모든 앱들은 var/mobile아래에서 동작하며 앱 데이터들은 /var/mobile로 옮겨지게 되었다.
/var/root는 루트 유저의 홈 디렉토리이다.
'포렌식 > iOS 포렌식' 카테고리의 다른 글
| 탈옥으로 얻은 데이터의 증거능력 (0) | 2023.02.09 |
|---|---|
| HFS+ structure (0) | 2023.02.09 |
| iOS File System (0) | 2023.02.09 |
| 모바일 포렌식의 개요 (0) | 2023.02.09 |