[AXIOM] 모바일 아티팩츠 분석기능 (7)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 모바일 아티팩츠 분석기능에서 개발자 옵션(Developer Options)과 USB 디버깅(Debugging)에 대해 알아보겠습니다. 모두 화이팅 하세요!!!

 

Developer Options

ADB 프로토콜을 사용하기 위해서는 개발자 옵션(Developer Options)을 디바이스에 활성화 시켜야 합니다.

안드로이드 버전 4.2 이후로는 개발자 옵션이 일반 사용자들이 볼 수 없도록 숨겨져 있습니다.

숨겨진 개발자 옵션을 활성화하기 위해서는 ‘디바이스 설정’ 아래의 ‘About Device’로 들어가 ‘Build Number’가 나올 때까지 스크롤하고, Build Number를 7번 클릭하여 Developer mode has been turned on이 나타나게 합니다.

개발자 옵션이 활성화 되면, Settings 영역 아래에 별도의 메뉴가 나타날 것 입니다.

 

USB Debugging

개발자 옵션(developer option)이 재활성화 되면, USB 디버깅(debugging)이 나타납니다.

기본적으로 USB 디버깅은 운영시스템에 의해 비활성화 되어 있을 겁니다.

ADB 프로토콜이 열린 상태가 되면 디바이스에 대한 사용자의 비인가된 접근이 가능하게 됩니다.

디바이스가 잠금 해제되어야 USB 디버깅 옵션이 켜질 수 있습니다.

디버깅 옵션이 없이는, ADB 통신 또한 활성화될 수 없습니다.

 

만약 디바이스가 잠금 해제되었다면, Settings --> Developer Options --> USB Debugging 순서의 메뉴를 사용함으로써 USB 디버깅을 활성화 할 수 있습니다.

이 옵션을 위한 체크박스를 선택하여 활성화 합니다.

Android 최신 버전에서는, 이 옵션을 활성화 하는 것에 대한 경고를 보여주면서 사용자가 그것을 활성화하지 말라고 주의를 줄 겁니다.

 

또한 이 옵션 메뉴 아래에는 Stay Awake 옵션이 있습니다.

이 옵션은 디바이스의 스크린을 켜진 상태로 유지하고, 디바이스가 전원이 연결될 경우 기기의 패스워드로 잠금 상태가 되지 않도록 해줍니다.

포렌식 조사자는 가능하면 현장에서 이 옵션을 가장 먼저 활성화 시켜야 합니다.

 

그림참고 : https://candid.technology/take-encrypted-backup-android-using-adb/

 

Adroid 4.2.2의 배포와 함께, 추가적인 security prompt가 비인가된 접근을 줄이기 위해 추가되었습니다.

개발자 옵션이 활성화되고, USB 디버깅이 켜지면, 추가적인 prompt가 나타날 것 입니다.

이러한 prompt는 디바이스가 연결된 각 컴퓨터마다 나타날 것 입니다.

이것은 각 컴퓨터별로 unique RSA 키를 사용하기 때문 입니다.

 

디바이스에서 RSA 키는 다음의 위치에 저장되어 있습니다.

/data/misc/adb/adb_keys

 

prompt가 성공적으로 승인되었는 지 확인하는 방법은 adb devices 명령어를 호스트 컴퓨터에서 동작시켜 보는 것 입니다.

만약 prompt가 보이지 않는다면, 다음의 순서로 문제를 해결합니다.

- 디바이스를 재부팅

- ‘adb kill-server’ 수행

- ‘adb devices’ 수행

- 개발자 옵션에서 Revoke USB Debugging authorizations를 클릭

 

과거의 옵션이 통신을 활성화시키기 위해 필요한 반면, 추가적인 옵션은 논리적인 추출을 활성화하는데 필요한 것 입니다.

기본적으로 안드로이드는 어플리케이션을 설치하는데 승인된 sources를 요구합니다.

구글 플레이 스토어(Google Play store)의 한 부분으로써 화이트리스트(whitelist, 합법적 앱 목록)를 제공합니다.

추가적인 sources로부터 어플리케이션을 설치하기 위해서는, ‘Unknown Sources’ 옵션이 활성화 되어야만 합니다.

대부분의 안드로이드 버전에서 이 옵션은 Settings --> Security 아래에 위치합니다.

 

Verify apps 옵션은 체크 해제되어 있어야 합니다.

이 옵션은 앱이 구동하기 전에 악성코드를 포함하고 있을 지도 모르는 어플리케이션이 있는지 여부에 대하여 검사할 것 입니다.

포렌식 도구에서 사용되는 명령어의 일부는 이러한 경고를 추적할 수도 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)