osx callhistory decryptor

ℹ 참고하세요

macOS 13(Ventura)부터 통화 기록 데이터베이스가 암호화되지 않은 것으로 보입니다. -no-key 플래그를 사용하여 프로그램을 실행하면 통화 기록을 볼 수 있습니다. -k 플래그는 더 이상 필요하지 않지만 이전 버전의 macOS에서는 계속 사용할 수 있습니다.

MacOS X 통화 기록을 CSV 파일 형식으로 변환합니다.

이것은 n0fates의 통화 기록 해독기의 Golang 구현이며 데이터베이스 내부를 설명하는 n0fate의 프레젠테이션을 기반으로 합니다: https://papers.put.as/papers/macosx/2014/Forensic-artifacts-for-Yosemite- 통화 기록-및-sms-anlaysis-ENG.pdf

이 구현의 동기는 다음과 같습니다.

• 단 하나의 바이너리 실행 파일을 가짐으로써 유용성을 향상시킵니다.
• 표준 라이브러리 기능을 사용하여 실행 속도를 높입니다.
• 편리한 출력 형식(CSV)을 제공합니다. 그리고
• 어떤 이유로든 MacOS X에서 호출 기록을 가져와야 하지만 원래 구현에 필요한 Python 인터프리터와 패키지를 설정하는 데 필요한 시간이나 기술 지식이 부족한 사람들이 더 쉽게 접근할 수 있도록 사용법을 설명합니다.

암호 해독 논리에 대한 모든 크레딧은 n0fate에 있습니다.

macOS 통화 기록을 해독하고 CSV 파일에 저장합니다.

릴리스 페이지에서 다운로드할 수 있습니다.

프로그램은 임시 디렉터리에 원본 데이터베이스의 복사본을 생성하고 해당 복사본에서 작동합니다. 통화 기록이 인쇄된 후 임시 파일은 삭제됩니다.

실행 중에 원본 데이터베이스는 변경되지 않습니다.

참고: macOS는 통화 기록 데이터를 다음 위치에 저장합니다.

 "$HOME/Library/Application Support/CallHistoryDB/CallHistory.storedata"

사용법 도움말을 보려면 -h 명령줄 플래그로 프로그램을 시작하십시오.

간단한 사용법:

 $ ./osx-callhistory-decryptor [flags] [database_file]

database_file 은 선택 사항입니다. OS macOS(Windows에서는 파일 이름을 제공해야 합니다).

Terminal.app을 엽니다. (어떻게?)

1. 통화 기록 해독기를 시작합니다.

    $ ./osx-callhistory-decryptor
   

   기본 통화 기록 파일을 찾아 임시 복사본을 만들어 엽니다.

   최신 MacOS에서 "작업이 허용되지 않습니다"라는 메시지가 표시되는 경우:

   1. "시스템 환경설정"으로 이동하세요.
   2. "보안 및 개인정보 보호"를 선택하세요.
   3. "개인정보" 탭으로 이동하여 "전체 디스크 액세스" 항목을 선택하세요.
   4. Utilities/Terminal.app 또는 사용 중인 모든 항목을 목록에 추가하세요.

2. 사용자의 로그온 비밀번호를 묻는 메시지가 표시됩니다. 이를 통해 프로그램은 OS X 키체인에서 통화 기록 암호화 키를 가져올 수 있습니다. -k 명령줄 플래그를 사용하여 통화 기록 암호화 키를 수동으로 제공할 수도 있습니다. 예:

    $ ./osx-callhistory-decryptor -k YSBzZWNyZXQga2V5IDEyCg==
   

3. 출력은 기본적으로 터미널에 인쇄됩니다. -o 명령줄 플래그를 제공하여 출력 파일을 지정할 수 있습니다.

    $ ./osx-callhistory-decryptor -o output.csv
   

어떤 이유로든 기본값이 아닌 다른 파일을 열려면 첫 번째 명령줄 매개변수에 파일 이름 위치가 포함되어야 합니다.

 $ ./osx-callhistory-decryptor -o output.csv Calls.db

기본적으로 시간 형식은 "T" 시간/날짜 구분 기호가 없는 RFC3339입니다( "2006-01-02 15:04:05Z07:00" ). 선택적으로 다른 형식을 전달하여 -time-format 플래그로 해당 동작을 변경할 수 있습니다. 예를 들어 날짜와 시간만 필요한 경우 다음과 같이 프로그램을 호출합니다.

 $ ./osx-callhistory-decryptor -time-format="2006-01-02 15:04"

형식화는 Go time 패키지 문서에 자세히 설명되어 있습니다.

원래 macOS 시스템에서 데이터베이스와 암호화 키를 얻어야 합니다.

1. 소스 OS X 시스템에서 CallHistory.storedata 의 복사본을 가져옵니다. 파일은 다음 위치에 저장됩니다.

    $HOME/Library/Application Support/CallHistoryDB/CallHistory.storedata
   

   $HOME 은 사용자의 홈 디렉토리입니다.

   'callhistory'의 압축을 푼 동일한 디렉터리에 복사합니다.

2. 소스 macOS X 키체인에서 키를 가져옵니다.

   1. 통화 기록 사용자 데이터 키 에 대해 macOS X 키체인을 검색하세요.
   2. 항목을 두 번 클릭하고 "비밀번호 표시" 필드 반대편에 확인 표시를 합니다.
   3. 사용자의 계정 비밀번호를 입력하고 키 값을 클립보드에 복사하세요.

3. Windows에서 터미널 또는 cmd.exe 프롬프트를 엽니다(방법?). 머신에서 통화 기록 해독기를 시작합니다.

    C:>osx-callhistory-decryptor.exe -k <key value from step 2> <filename from step 1>
   

4. 출력은 기본적으로 터미널에 인쇄됩니다. -o 명령줄 플래그를 제공하여 출력 파일을 지정할 수 있습니다.

    C:>osx-callhistory-decryptor.exe -o your_ex_callhistory_lol.csv <filename from step 1>
   

OS X 통화 기록 해독기

저작권 (C) 2016 n0fate (GPL2 라이센스)

Copyright (C) 2018-2021 rusq (golang 구현, GPL3)

이 프로그램은 무료 소프트웨어입니다. 자유 소프트웨어 재단(Free Software Foundation)에서 발표한 GNU General Public License(라이센스 버전 3) 또는 (귀하의 선택에 따라) 이후 버전의 조건에 따라 재배포 및/또는 수정할 수 있습니다.

이 프로그램은 유용할 것이라는 희망으로 배포되지만 어떠한 보증도 제공하지 않습니다. 상품성이나 특정 목적에의 적합성에 대한 묵시적인 보증도 없이 말입니다. 자세한 내용은 GNU 일반 공중 사용 허가서를 참조하세요.

이 프로그램과 함께 GNU General Public License 사본을 받으셨을 것입니다. 그렇지 않은 경우 https://www.gnu.org/licenses/를 참조하세요.