5-1) Sqlite 열어보기

이 부분은 시험에서는 필수는 아니나 앞으로 포렌식 관련 분석을 할 때 알아두면 좋을 Sqlite 파일을 전용 도구를 이용하여 가볍게 살펴보고 가도록 하겠습니다.

1. Sqlite

  • Sqlite 파일은 경량화 된 관계형 데이터베이스 관리 시스템(RDBMS)으로, 서버 없이 하나의 파일에 모든 데이터베이스가 저장되는 구조를 가집니다.

  • 실제로 많은 앱이나 프로그램에서 Sqlite를 많이 사용합니다.(특히 모바일은 더욱 많이 사용합니다.) 따라서 꼭 한번은 분석해보시는 것을 추천 드립니다.

  • Sqlite 파일의 경우 기본 시그니처가 "SQLite format3"로 된 파일로 프로그램, 앱 등 다양한 곳에서 매우 많이 사용되기 때문에 해당 시그니처를 가진 파일을 발견한 경우 주요 분석 대상 프로그램의 속한 파일이라면 충분히 분석 할만한 대상이 됩니다.

  • 먼저 Sqlite파일을 분석할 수 있는 도구를 다운 받아 보겠습니다. (시험장에서 제공하는 도구) [DB Browser for Sqlite] - 공식 사이트 : https://sqlitebrowser.org/dl/ - 다운로드(64비트) : https://download.sqlitebrowser.org/DB.Browser.for.SQLite-v3.13.0-win64.msi *SQLite Expert Professional 5.5.7 / Coral Creek Software → 삭제 > [링 크]

2. Sqlite 도구를 활용한 분석 연습

2-1) 인터넷 접속 기록(Chrome 살펴보기)

  1. 앞에서 Autospy로 살펴봤던 Chrome 접속관련 기록을 Sqlite 분석도구를 이용해서 살펴보겠습니다. 아래 경로의 파일을 추출하여 봅시다. Users/{사용자}/AppData/Local/Google/Chrome/User Data/Default/History

    *Sqlite 파일을 추출할 때 -shm, -wal 도 함께 있다면 같이 추출하여 같은 폴더에 두어야 정상적으로 분석이 가능합니다. db 파일만 추출할 경우 전체 데이터가 아닌 일부만 추출될 수 있습니다.

  2. [DB Browser for Sqlite] 데이터베이스 열기를 선택 후 추출한 파일을 선택하여 열 수 있습니다. 확장자가 지원하지 않는 경우 모든 파일을 선택하면 열 수 있습니다.

    테이블을 살펴보면 urls, downloads 등등을 살펴보면 주요 흔적을 확인할 수 있습니다.

2-2) Sticky Note(스티커메모) 열어보기

  1. 앞에서 실습했던 스티커 메모를 한번 연습해보도록 하겠습니다.

  2. 먼저 아래 경로의plum.sqlite 파일을 추출합시다. Users/{사용자}/AppData/Local/Google/Chrome/User Data/Default/History 추출 시 주의사항으로 sqlite 파일과 같이 ~shm, wal 파일이 있을 경우 같이 추출 하는 것을 추천합니다. 특히 sqlite 용량이 용량이 작을 경우 같이 추출해야 정상적인 데이터베이스 내용 확인이 가능합니다.

  3. [DB Browser for Sqlite] DB Browoser for Sqlite를 실행 한 뒤 데이터베이스 열기를 통해 sqlite 파일을 열 수 있습니다.

    Autospy와 같이 테이블 선택이 가능하고, 내용 부분을 더블클릭 해서 상세히 확인이 가능합니다.

내 윈도우의 Sticky Note 테스트 해보기

  • 내 PC에서도 테스트를 해보겠습니다. (필수는 아닙니다!) *[스티커 메모]입니다. / 스티커 노트는 다른 앱입니다.

  • 스티커 메모앱을 실행한 뒤 아무 텍스트나 입력 해 봅시다.

  1. DB Browser for Sqlite를 실행 한 뒤 데이터베이스 파일을 열어봅시다. 아래 경로를 상위 경로에 복사 붙여넣기 하거나 %LOCALAPPDATA%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState 각자 PC의 맞는 경로로 가보도록 합시다. plum.sqlite 파일을 선택하여 열기 하여 봅시다.

  2. 테이블을 Note로 선택 후 Text 부분을 살펴보면 추가된 내역을 확인할 수 있습니다.

  3. Sqlite Export 프로그램 시작 후 데이터베이스 파일 열기 아이콘을 선택 한 뒤 plum.sqlite 파일이 위치한 경로로 이동하여 파일을 열어봅시다. %LOCALAPPDATA%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState

  4. [Note] 테이블을 살펴보면 추가된 내역 확인이 가능합니다.

Previous5) 주요 응용 프로그램 아티팩트Next6) 키워드 검색 / Base64 Decode

Last updated