[AXIOM] 이미징 형태와 검색 유형 등

안녕하세요. 도깬리 포렌식스 입니다.

금일부터는 MAGNET의 AXIOM 프로그램의 여러 기능을 살펴 봅니다. MAGNET은 인터넷 포렌식 전문 도구였던 IEF 시절 부터 윈도우즈 기반 인터넷 히스토리 분석에 중점을 두고 제품을 개발해오다가 2016년 경부터 AXIOM으로 완전히 전환하여 윈도우즈의 다양한 아티팩츠 뿐만 아니라 스마트폰에 대한 분석까지 지원하고 있습니다. AXIOM의 강점은 역시 인터넷 아티팩츠에 대한 강력한 분석기능과 타임라인 기반 분석기능이라고 할 수 있습니다. 이번 시리즈는 이러한 AXIOM에 대한 기능 설명으로서 MAGNET AXIOM Examinations (AX200) 메뉴얼 내용을 소개하고자 합니다. 

 

Evidence Sources

[Load Evidence] 옵션을 사용하여  Volume Shadow Copies (VSC)와 RAM 이미지도 개별적으로 만들 수 있습니다.

 

이미징 형태는 4개

Full-Entire contents of the drive in E01 format

물리 이미징 : E01으로 전체 이미징합니다.

 

Full-Entire contests of the drive in RAW format

물리 이미징 : DD로 전체 이미징합니다.

 

Full-All files and folders

논리 이미징 : 모든 폴더와 파일만 이미징합니다.

 

Quick-Targeted acquisition

논리 이미징 : 선별 이미징입니다.

 

AXIOM이 설치된 드라이브는 조사 대상 드라이브 목록에서 보여주지 않습니다.

 

안드로이드 디바이스가 이미징 되기 위한 일반 요건

USB 디버깅 옵션이 활성화 되어 있어야 합니다.

잠금을 푼 상태이어야 합니다.

 

물리 이미징(Full option)을 위한 전제 조건

루트 권한으로 접근이 가능해야 합니다.

 

논리 이미징(Quick option)을 위한 전제 조건

APK injection types을 포함해야 합니다.

ADB backup command를 포함해야 합니다.

 

iOS 디바이스가 이미징 되기 위한 일반 요건

컴퓨터와 연결후 “Trust this Computer”가 승인되어야 합니다.

iOS 디바이스는 기본적으로 논리이미징(Quick option)만 가능합니다.

이미징 이전에 iTunes backup을 수행합니다.

iOS 디바이스에 대한 물리적 이미징은 ‘탈옥(Jailbroken)’의 경우에만 가능합니다.

 

[Load Evidence]

- Drive

- Image

- Files & Folders

윈도우 보안 솔루션을 우회하여 AXIOM 어플리케이션 프로그래밍 인터페이스(API)가 직접 해당 파일이나 폴더에 접근하기 때문에 윈도우 레지스트리 하이브 또는 $MFT 같은 보호된 시스템 파일을 처리할 수 있습니다.

원격지에 있는 파일이나 폴더에도 접근이 가능합니다. 다만 사용자가 해당 원격지에 접근할 수 있는 상태이어야 합니다.

- Volume Shadow Copy

- Memory

 

 

[Mobile] 옵션

지원 가능한 5개의 옵션이 존재합니다.

- Andriod

- iOS

- Windows Phone

- Kindle Fire

- Media Transfer Protocol (MTP)

App 데이터는 OS의 유형에 따라 저장되는 위치나 아티팩츠의 형태가 서로 다릅니다.

다른 도구로 만든 모바일 이미지도 raw data files 또는 proprietary files를 선택하여 이미징을 할 수 있습니다.

[Files & Folders] 옵션을 선택하면 디바이스의 파일 시스템으로부터 직접 아티팩츠를 분석할 수 있으며, iTunes Backup 데이터와 같이 파일을 모아 놓은 곳에서 분석도 가능합니다.

 

컴퓨터 기반 이미지는 다음과 같이 4개의 검색 유형으로 추가

Full

비할당 영역(unallocated space), 미사용 영역(uninitialized space), 파일 슬랙 공간(file slack space)을 포함합니다.

 

Quick

AXIOM이 증거가 있을 법한 가장 일반적인 영역을 검색하여 추가시킵니다.

예) 기본적인 어플리케이션 데이터 폴더, 윈도우 레지스트리, 사용자 프로파일, My Documents

 

Sector

검색 속도가 가장 느립니다.

AXIOM이 지원하지 않는 시스템이나 손상된 포렌식 이미지에서 정보를 재구성하는데 유용합니다.

특히, 모바일 디바이스에 대하여 Chip-off 또는 JTAG 방식으로 이미지를 획득하는 경우 유용합니다.

왜냐하면 위와 같은 방식을 사용할 경우 해당 칩 안의 전체 데이터를 모두 끌어오지 못 할 수도 있기 때문입니다.

 

Custom

사용자가 직접 설정할 수 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : MAGNET AXIOM Examinations (AX200)