[AXIOM] 모바일 아티팩츠 분석기능 (6)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 모바일 아티팩츠 분석기능 6회차 입니다. 모두 화이팅 하세요!!!

 

Android OS

전 세계에서 가장 널리 사용되는 운영체제라고 볼 수 있습니다.

리눅스 커널을 기반으로 하며, 대부분 오픈소스 입니다.

코드 중 일부는 여전히 Android의 소유자인 Google에 의해 유지/보호되고 있습니다.

하드웨어와 소프트웨어 측면에서 Apple이 혼자 만든 iOS와는 달리, 안드로이드 디바이스는 세계각지의 다양한 제조사들이 만들었기 때문에, 저장되는 데이터와 기반 기능 등 디바이스간에 약간의 차이점이 존재하기도 합니다.

다양한 제조사, 통신사가 운영체제 업데이트의 배포에 관여하기 때문에, 몇몇 디바이스가 결코 그 운영체제의 최신 버전일 수 없고, 더 오래된 것, 보안이 덜 심한 버전이 유지될 수 있으며, 바로 이런 점 때문에 포렌식 분석가들에게는 분석에 필요한 추가적인 데이터 얻을 수도 있습니다.

 

 

Acquiring Android Devices

안드로이드 디바이스를 분석하기 위해 취해야 할 몇가지 단계가 있습니다.

가장 중요한 단계중에 하나는 디바이스와 통신을 하게 될 호스트 머신에 드라이버를 설치하는 것 입니다.

안드로이드 디바이스가 통신하는 방식 때문에, ‘USB 디버깅 활성화(USB debugging)’라고 알려진 옵션이 필요합니다.

필요한 통신의 수준에 따라, 디바이스에서 루트(root) 레벨의 권한이 필요할 수도 있습니다.

 

대부분의 포렌식 조사에서 중요한 드라이버는 ADB 드라이버 입니다.

이것은 ADB 통신을 완성시켜 주는 별도의 드라이버 입니다.

전용 ADB 드라이버를 사용하는 것이 가장 좋습니다.

디바이스를 USB 디버깅모드로 전환하게 되면, ADB 디버그 드라이버가 제조사 또는 제3의 벤더에 의해 설치될 수 있습니다.

예) generic or vendor-neutral driver

AXIOM이 사용하는 ADB 드라이버의 위치는 다음과 같습니다.

C:\Program Files\Magnet Forensics\Magnet AXIOM\AXIOM Process\Local ADB Driver\

 

What is ADB?

ADB = Android Debug Bridge

안드로이드가 개발한 통신 프로토콜  입니다.

이것은 서버/클라이언트 환경을 이용하여 디바이스의 통신을 호스트 머신에 연결하여 줍니다.

ADB 서버는 다음과 같이 3개의 부분으로 나뉩니다.

- Client

- Server

- daemon

 

 

모든 포렌식 도구는 ADB 프로토콜을 사용하여 안드로이드 디바이스와 통신합니다.

구글의 다음 주소에서 Android SDK를 다운로드하여 ADB setup을 얻을 수 있습니다.

http://developer.android.com

 

AXIOM 설치 폴더에 ADB setup이 저장되어 있습니다.

C:\Program Files (x86)\Magnet Acquire\ADB\

 

AXIOM은 ADB 명령어 버전을 이용하여 연결된 디바이스와 통신을 수행하고 custom application 설치, 백업 수행, 소프트웨어 취약점 이용 시도, 파일시스템에서의 파일 추출 등 몇가지 기능을 수행합니다.

ADB 방식이 연결과 추출을 가능하게 하고 문제점을 해결하는 가장 좋은 방식입니다.

 

이렇게 하기 위해서는, 위 경로에서 cmd 명령을 실행합니다.

ADB help

ADB 명령어의 전체 목록을 확인합니다.

 

ADB devices

연결된 디바이스를 확인합니다.

모든 연결된 디바이스의 Adroid ID를 확인할 수 있습니다.

디바이스의 상태를 확인합니다.

- Authorized

- Unauthorized

- Offline

- Recovery

 

ADB shell

디바이스에 대한 Linux shell을 열어 root level permission을 확인하거나 파일 시스템을 브라우징하는데 이용됩니다.

ADB shell 명령어에서 # 표시가 있으면, 그것은 root임을 의미합니다.

$ 표시가 있으면 root가 아닙니다.

해당 디바이스에서 슈퍼유저 어플리케이션을 이용할 수 있는지 보기 위해서는 su를 입력하여야 합니다.

 

ADB install [path to apk]

시스템에 .apk 파일을 찾아서 어플리케이션을 설치합니다.

 

ADB pull [path on device][path on local machine]

안드로이드에서 파일을 추출합니다.

파일시스템 접근권한에 따라 다릅니다.

 

ADB push [path on local machine][path on device]

안드로이드에 파일을 추가합니다.

파일시스템 접근권한에 따라 다릅니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)