binarycookiesファイル解析ツールbincookie

はじめに

iOSやMacのフォレンジックでは、アーティファクトの1つとしてCookie情報を利用します。macOSでは、/User/ユーザ名/Library/Cookies/Cookies.binarycookies に存在します。しかしながら、本ファイルは拡張子からもわかるようにバイナリ形式になっています。そこで、本記事ではこのバイナリファイルを解析するツールをご紹介します。

bincookie

bincookie
拙作のGolangで実装された解析ツールです。goユーザならgo getで入りますし、Releaseからバイナリのダウンロードもできます。
本ツールの特徴として、curlコマンドで利用できる形式として出力する点です。私の手元にあった/Users/ユーザ名/Library/Cookies/com.apple.iTunes.binarycookiesに対して適用した例が以下です。

$ bincookie /Users/ユーザ名/Library/Cookies/com.apple.iTunes.binarycookies
# Netscape HTTP Cookie File
# This file was generated by owlinux1000's bincookie
# https://github.com/owlinux1000/bincookie

.apple.com	TRUE	/	TRUE	1566914111	xp_ci	hogehogehoge
.apple.com	TRUE	/	TRUE	1566914111	xp_ab	hogehogehoge
.xp.apple.com	TRUE	/	TRUE	1566914111	xp_aci	hogehogehog

また、同様のソフトウェアとして以下の2つが存在します。

• BinaryCookieReader
• Burnt Cookie

おわりに

binarycookiesファイル解析ツールbincookieの宣伝をしました。binarycookiesファイルを解析する際には、ぜひbincookie使ってみてください。バグか何かあったらissueやPR待ってます。