iOS 시스템 로그 중 하나인 knowledgeC.db에는 다양한 사용자 행위 및 기기의 동작이 기록된다. 특히 메신저 앱이 동작하였을 때 기록되는 로그의 경우, 유저 ID, 닉네임, 채팅방 ID, 메시지 송·수신 행위, 통화 수·발신 행위, 타임스탬프 등 포렌식적으로 가치 있는 데이터가 다수 존재한다. 해당 로그는 기기에서 메신저 앱이 삭제되더라도 일정 기간 보존되어 사용자 행위 추적이 가능하다. 본 논문에서는 5가지 메신저 앱을 이용하여 사용자 행위를 수행하고 메신저 앱을 삭제한 후 knowledgeC.db를 수집·분석하였으며, 보존된 로그에서 확보할 수 있는 정보와 보존 기간을 파악하였다. 또한 iOS 16부터 knowledgeC.db의 데이터를 대체한다고 알려진 Biome의 SEGB 파일에 기록된 로그와 knowledgeC.db의 로그를 비교 분석하였으며, 이를 통해 메신저 앱 삭제 행위에 대응하기 위한 knowledgeC.db의 조사 방법을 제안한다.
“knowledgeC.db”, known as an iOS system artifact, records a user’s messenger app activity. When a messenger app is deleted, logs in knowledgeC.db sustain for some period of time. These logs are forensically useful when investigating the user’s activity related to the deleted messenger app. There exist studies and tools to parse knowledgeC.db. However, when it comes to countering anti-forensic behavior and understanding the actual meaning of the remaining data, further research is still needed. In this paper, we analyze the structure of knowledgeC.db from a forensic perspective, after conducting tests with 5 messenger apps. Through tests, we attempt to figure out timestamp data, user identifiable information, user activity types, and the duration for which logs are maintained even after the apps had been uninstalled. Also, we compare the logs in the knowledgeC.db with the Biome SEGB files, which are known to substitute data in knowledgeC.db from iOS 16. Eventually, we propose a tool for automation and suggest a methodological approach to utilize knowledgeC.db for forensic investigation.