[AXIOM] 모바일 아티팩츠 분석 기능 (1)

안녕하세요. 도깬리 포렌식스 입니다.

AXIOM의 모바일 아티팩츠에 대한 분석기능에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!

 

Smartphone Operating System

AXIOM은 다음과 같이 다양한 스마트폰 플랫폼을 지원합니다(이미지를 만들 수도 있고, 이미지를 읽어 와서 분석할 수도 있습니다.)

- iOS

- Android

- Windows Phone Series

- Kindle Fire phone

iOS

2007년에 최초 출시하였습니다. 그 당시 OSX의 파생물에 불과했으나, 그 이후 iPhone OS로 불리다가 2010년 iPhone 4가 나오면서부터 iOS로 불리게 되었습니다.

iPhone OS로 불렸음에도 1세대 iPad와 iPod Touch 디바이스에도 설치되었습니다.

iOS는 MacOS와 매우 유사하고, 둘다 Unix에 기반을 둡니다.

iOS는 후속 버전이 출시될 때 마다, 사용자를 위한 기능과 더불어 보안 기능을 추가하였고, 이것은 포렌식 조사자들이 해당 디바이스에서 정보를 추출하는 것을 더욱 어렵게 하였습니다.

포렌식 조사자들이 이용했던 기술은 애플의 내장형 백업 기능을 이용한 것이었는데, 새로운 버전이 나올 때마다 획득 가능한 정보의 범위가 바뀌었습니다.

 

애플 디바이스는 다음과 같은 식별값을 갖고 있습니다.

- IMEI (International Mobile Equipment Identify)

- MEID (Mobile equipment identifier)

- Serial Number

- Unique Device Identifier (UDID)

 

UDID

Chip ID, Wi-Fi Mac address, Bluetooth Mac address와 같은 고유한 값들 포함하여 해싱을 한 값 입니다.

애플이 디바이스를 식별하거나 Back up된 데이터를 식별할 때 참조하는 값 입니다.

iOS 디바이스를 윈도우 컴퓨터에 연결하면, UDID 값도 컴퓨터의 레지스트리에 기록됩니다.

40개의 alphanumeric value 입니다.

 

UDID 값을 확인하는 2가지 방법

iOS 디바이스를 연결하였을 때, iTunes는 UDID를 보여줍니다. 다만 이것은 디바이스가 잠금해제 되었고, iTunes가 동작하는 컴퓨터에 연결되었을 때만 그렇습니다.

만약 디바이스가 잠금되었다면, iOS의 버전에 따라 UDID를 확인할 수도 있고, 그러하지 않을 수도 있습니다.

 

UDID Identification

디스크관리자에서 devmgmt.msc를 입력하여 실행합니다.

USB 컨트롤러 목록을 확장하여 Apple Mobile Device USB Driver를 찾습니다

iTunes가 설치되어 있지 않았다면, Portable Devices 아래에 Apple iPhone이 나타날 것 입니다.

디바이스에서 우클릭하고 속성을 선택합니다.

Details 탭에서  Property 메뉴에서 Device instance path를 선택합니다.

보이는 값에서 마지막 40글자는 UDID 를 나타냅니다.

 

Registry Entries

iOS 디바이스는 UDID 값을 레지스트리에 기록합니다.

잠겨 있든 아니든 간에 System 레지스트리에 값이 Device Instance Path에 등록됩니다.

Friendly Name이나 Device Class ID에서 Apple 디바이스용 VID인 05AC로 검색하면 모든 Apple Device의 연결 기록을 확인 할 수 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)