[AXIOM] Chat 분석 기능

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM의 Chat 분석기능에 대해 알아보겠습니다. 모두 화이팅하세요.

 

Magnet AXIOM Process Chat Artifacts

PC, Mac, 모바일 기기를 구분하지 않고 메신저 데이터를 처리할 수 있습니다.

MSN plus, Google Talk 등 알려진 메신저에 대한 처리는 AXIOM process의 CHAT 옵션에 포함되어 있습니다.

그 이외의 채팅 내역은 Dynamic App Finder 기능을 사용하여 해당 메신저에 대한 처리를 Find More Artifacts 섹션에서 새롭게 추가 시켜주어야 합니다.

AXIOM process는 300개 이상의 알려진 인터넷 아티팩츠를 지원합니다.

300여개 중 대부분이 인터넷 메신저 또는 채팅 클라이언트입니다.

 

Custom Artifacts

Yahoo Messenger

 

Chat Artifacts

채팅 클라이언트 아티팩츠 카테고리에는 다음의 항목을 포함합니다.

- 로컬 사용자의 대화명

- 프로파일 정보

- 사용자와 클라이언트의 설정 정보

- 연락처 및 친구 목록

- 메시지 쓰레드

- 파일 전송

- 전화 통화내역

- 비디오 메시지

- 인터넷 주소

컴퓨터와 모바일 기기를 동일한 케이스에 넣어 조사를 하게 되면, CHAT 카테고리에 두 기기 처리 결과물이 모두 보여 질 겁니다.

 

Artifacts-Row View

Artifacts-Conversation View

 

Artifacts-Magnet Artificial Intellegence – Categorize Chats

성 관련 컨텐츠를 분석하기 위해 채팅 관련 아티팩츠를 검색할 때 Magnet.AI를 사용합니다.

Magnet.AI는 성관계할 아동을 구하는 행위(Grooming), 성관계를 유혹 하는 행위(Luring), 성관련 대화(Sex-related conversations), 성추행 유발(enticement) 등과 같은 행위가 일어나는 채팅 내역을 식별하여 줍니다.

맵핑되능 항목에는 자동으로 태그를 달아 줍니다.

Magnet.AI는 프로세스가 완료된 후 활성화 됩니다.

 

Artifacts-Source Linking

File system이나 레지스트리 탐색기에서 아티팩츠의 원천으로 빨리 찾아가게 해주는 기능입니다.

채팅 내역을 조사할 때, SQLite 데이터베이스에서 파싱된 흔적의 위치를 찾아갈 때 특히 유용합니다.

다만 모든 SQLite 파일 또는 테이블을 자동으로 파싱할 수 있는 것은 아닙니다.

 

Skype

Skype 아티팩츠는 main.db 파일에서 파싱한 것입니다.

Skype 프로파일 폴더의 최상위에 위치합니다.

SQLite 데이터베이스 형식입이다

다음과 같은 데이터가 저장되어 있습니다

- 사용자 프로파일/계정 정보 (User’s profile)

- 전화 통화 내역 (Phone calls)

- 채팅 메시지 (Chat messages)

- 연락처 (Contacts)

- 친구 (Buddies)

- 파일 전송 또는 임시저장된 미디어 (File transfers or media cache)

 

 

Skype 사용자 계정에 관한 아티팩츠는 Main.db의 Accounts 테이블에서 파싱한 것이고, 다음의 항목을 포함합니다.

- 사용자의 Skype 프로파일/대화명 (Display name)

- 전체 이름 (Full name)

- 계정을 등록하는데 이용한 이메일 주소

- 프로파일과 아바타를 만든 시간정보

- 프로파일을 수정한 마지막 시각

 

Skype Chat Messages

Main.db 데이터베이스의 Messages 테이블에서 파싱된 것입니다.

다음의 항목을 포함한다.

- 로컬 사용자와 원격 사용자의 이름 (the local user and remote user name)

- 메시지 송신자 (the author (sender) of the message)

- 메시지 수신자 (the recipient of the message)

- 보낸 시각 (the timestamp the message was sent)

- body_xml 형식으로 된 메시지 쓰레드의 내용 (the content of the message threds)

 

Skype Contacts

Main.db 데이터베이스의 Contacts 테이블에서 파싱된 것입니다.

Accounts 테이블의 로컬 사용자 정보와 유사한 정보를 포함합니다.

 

Skype IP Addresses

Skype Chatsync Messages와 유사하게, \chatsync\ 아래의 .dat 파일에서 파싱된 것입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)