[AXIOM] 모바일 아티팩츠 분석기능 (4)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM으로 분석하는 모바일 아티팩츠 분석기능 4번째 시간입니다. 모두 화이팅하세요!!!

 

iOS Full Images And JailBreaking

AXIOM을 이용하여 Full Image를 얻고 싶다면, 해당 디바이스는 ‘탈옥(jailbroken)’되어 있어야 하고, 특별한 수정(tweak)이 전제되어야 합니다.

이렇게 수정한 것, 비인가된 패키지를 AFC2, 즉 Apple File Conduit 2라고 부릅니다.

이것은  Cydia application repository의 설립자가 제작하고 관리합니다.

이것은  디바이스의 raw filesystem과 연결하여 통신을 가능하게 합니다.

이런 방식으로 AFC2는 AXIOM이 디바이스에서 논리적 파일을 획득할 수 있게 합니다.

 

그림참조 : https://fossbytes.com/what-is-jailbreaking-iphone-illegal/

 

그러나 최근 새롭게 등장하는 jailbroken 도구들은 AFC2 방식을 사용하지 않습니다. 왜냐하면 이것들은 파일시스템 보호 기능을 제거하기 때문입니다.

iOS 디바이스를 ‘탈옥’시키는 것이 항상 가능한 일은 아닙니다.

즉, Case-by-case로 판단해야 될 문제입니다.

 

‘탈옥(jailbroken)’은 애플의 ‘Walled Garden' 철학이 만들어 놓은 운영체제에 대한 제약사항을 제거하는 이슈를 초래합니다.

즉, ‘탈옥’은 Apple이 승인하지 않은 디바이스에 어플리케이션을 설치한다거나 수정을 할 수 있게 하는 것 입니다.

따라서 사용자는 디바이스에서의 구동이 허용되지 않은 소프트웨어를 설치하기 위해 디바이스에 수정을 가할 수 있게 됩니다.

 

포렌식 측면에서, 탈옥된 디바이스는 전체 데이터에 대한 획득을 금지시킨 제약사항을 제거하는 것을 의미합니다.

그러나 디바이스는 탈옥 여부와는 관계없이 여전히 암호화되어 있습니다.

디바이스를 ‘탈옥’시킴으로써, 디바이스에서의 모든 논리적인 파일에 접근할 수 있게 되는 것 입니다.

 

AXIOM 프로세스가 탈옥된 디바이스로부터 전체 이미지를 획득하면, 전체 파일 시스템은 복원됩니다.

애플은 파일시스템 내부에서 심볼릭 링크를 사용하므로 이로 인해 파일시스템 내부에 존재하는 파일의 여러 복사본으로 인하여 똑 같은 파일이 복원될 수도 있습니다.

 

AXIOM Process는 모바일 디바이스로부터 데이터를 획득할 때, 2개의 로그 파일을 생성합니다.

image_info

디바이스에 대한 정보, 이미징 과정에 대한 다음과 같은 정보를 포함합니다.

identifier, segment 위치, 처리 일시 등

 

activity_info

획득하는 동안 디바이스에서 수행된 프로세스에 대한 정보를 저장합니다.

따라서 그 과정에서  어떤 조치가 취해졌는지 알 수 있습니다.

 

Image Files

Quick 이든 Full 이든 관계 없이, iOS 디바이스에 대한 이미지 파일은 .zip으로 압축된 파일이기 마련입니다.

Quick 이미지 안에서, .zip 파일은 iTunes 백업이 가능한 파일들, 백업에 관한 정보를 포함하는 Property list files을 포함합니다.

Full 이미지는 전체 파일시스템을 포함합니다.

애플이 심볼릭 링크를 사용하기 때문에 파일시스템 안에는 중복된 파일이 많이 존재할 것 입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)