[AXIOM] 모바일 아티팩츠 분석기능 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 모바일 아티팩츠에 대한 분석기능 세번째 시간 입니다. 모두 화이팅 하세요!!!

 

Loading Forensic Images/Data into AXIOM

AXIOM Process는 iTunes 백업에 대한 분석을 지원하나, 암호화된 백업에 대해서는 자동화된 분석을 지원하지 않습니다.

iTunes 백업의 저장 위치는 다음과 같습니다.

\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup\

\Backup\폴더 아래 zip을 압축하고, 압축한 파일을 AXIOM에 추가하여 분석 진행 합니다.

 

Imaging in AXIOM

AXIOM Process는 과거에 생성하였던 iTunes 백업을 로딩하는 것 뿐만 아니라, 바로 이미징하는 기능을 지원합니다.

iOS 디바이스를 연결하면 자동으로 모델 번호, OS 버전, 접근권한이 있는지 여부 등을 보여 줍니다.

iOS 디바이스에 대하여 이미징을 하기 전에 iTunes 소프트웨어가 설치되어 있어야 합니다.

iTunes 소프트웨어는 모든 iOS 디바이스에 대한 드라이버를 설치합니다.

iOS 디바이스가 잠금 설정이 되어 있으면 분석이 불가능합니다.

 

컴퓨터가 해당 디바이스에 대한 접근 권한을 얻기 위해서는 반드시 ‘신뢰합니다’를 선택하여야 합니다.

‘Trust’ 옵션을 선택하는 순간, 컴퓨터의 다음 경로에 Pairing certificate 라는 Property list file이 생성됩니다.

C:\ProgramData\Apple\Lockdown

 

해당 preperty list file은 컴퓨터와 페어링 된 애플 디바이스의 UDID를 파일의 이름으로 합니다.

만약 ‘Don’t Trust’를 선택하게 되면 해당 디바이스는 충전만 될 뿐, 어떠한 pairing record도 생성되지 않고, 어떠한 데이터 통신도 일어나지 않습니다.

사용자가 어떤 옵션을 선택하든 간에, 연결되는 순간 해당 iOS 디바이스에 대한 정보가 윈도우 레지스트리에 기록됩니다.

구 iOS 버전은 pairing record 보안이 약간 불안했으나, iOS 8 이후로는 pairing record가 매우 안전하고, 애플 디바이스를 재부팅하면 이전 것은 무효화 됩니다.

 

Mobile Image Types

Magnet Forensics는 일반적으로 포렌식계에서 사용하는 용어인 “Physical”, “Logical”이라는 말 대신 “Full”, “Quick”라는 용어를 사용합니다.

이것은 컴퓨터 포렌식과 모바일 포렌식에서의 미묘한 차이에서 기인한 것 입니다.

 

 

Full Image

애플 디바이스를 탈옥(jailbroken)하였을 때만 가능합니다.

AXIOM에서는 Privileged access 아래에서만 접근이 허용되고, 활성화 되면 디바이스에 대한 전체 이미징이 가능합니다.

대부분의 데이터는 iTunes 백업 과정을 이용하여 획득됩니다.

이런 방식은 모든 iOS 버전에 적용될 것 입니다.

iTunes와 같은 동일한 백업 프로세스를 이용하면서, 이런 방식으로 SMS/iMessage/MMS, Contacts, Call Logs, Web History 등을 포함하는 대부분의 사용자 데이터를 획득할 것 입니다.

 

iOS 버전에 따라 데이터를 획득하는 데 다른 방식이 적용되기도 합니다.

예) Apple File Conduit, Apple File Relay

 

Apple File Relay

진단 도구를 사용하여 운영체제의 핵심 데이터베이스의 사본을 획득하는 것 입니다.

이 방식은 또한 iTunes Backup Encryption을 우회할 수 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)