안녕하세요. 도깬리 포렌식스 입니다.
오늘은 구형 안드로이드폰(SHV-E120L)에 대한 데이터 획득에 대하여 살펴보겠습니다. 상당히 Old한 기법이지만 안드로이드폰에 대한 이해를 돕는데 유용하리라 생각됩니다.
안드로이드 장치
adb.exe를 이용한 전체 백업
(1) 제조사에서 드라이버를 다운로드합니다.
- 삼성 : https://www.samsungsvc.co.kr/download
- LG : https://www.lge.co.kr/support/product-manuals#cur
(2)SD 카드와 USIM을 제거합니다.
(3) WiFi 네트워크 연결을 차단합니다.
(4) 스마트폰에 들어가 USB 디버깅을 설정한 후 USB 케이블을 연결합니다.
- 설정 > 개발자 옵션 > USB 디버깅을 체크합니다.
- 체크가 안되면 USB 케이블을 제거한 후 다시 체크를 시도합니다.
(5) 잠금화면이 있으면 해제합니다.
(6) adb device --> 연결된 스마트폰을 확인합니다.
(7) adb backup -f backup.ad -apk -noshared -all --> SC 카드를 제외한 전체 백업을 합니다.
- SD 포함할 경우에는 –shared 옵션을 사용합니다.
(8) 스마트폰에서 백업할 파일의 비밀번호를 설정하라고 하면, 그냥 공백으로 두고, ‘내 데이터 백업’을 클릭합니다.
(9) backup.ab 라는 파일이 생성되고, 계속 그 용량은 늘어날 것입니다.
EnCase 7 이후버전 에서는 .ad 파일을 불러와서 논리적으로 이미징이 가능합니다.
스마트폰을 직접 EnCase에 연결하여 물리적 이미징을 시도할 경우 이미징 실패할 겁니다.
iOS의 경우, EnCase는 iTunes의 백업 데이터를 이용하여 이미징이 가능합니다.
Android의 경우. EnCase가 기기에 직접 연결하여 이미징을 시도할 수 있으나, 실패할 것이고, 따라서 부득이 adb.exe의 백업 데이터를 이용하여 이미징을 할 수 밖에 없습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
[EnCase] EnCase로 구형 안드로이드 스마트폰의 microSD card 분석하기 (0) | 2022.06.03 |
---|---|
[EnCase] EnCase로 구형 안드로이드폰 분석하기 (2) (0) | 2022.06.01 |
[EnCase] EnCase로 구형 아이폰 분석하기 (6) (0) | 2022.05.27 |
[EnCase] EnCase로 구형 아이폰 분석하기 (5) (0) | 2022.05.24 |
[EnCase] EnCase로 구형 아이폰 분석하기 (4) (0) | 2022.05.22 |