[AXIOM] 모바일 아티팩츠 분석기능 (8)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Android Image Types 등에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!

 

Android Image Types

필요한 통신 절차가 이루어지고 AXIOM process에 의해 디바이스가 나타나게 되면, 획득될 수 있는 이미지 타입는 다음과 같은 2가지 형태를 갖습니다.

 

 

Quick Image

디바이스에서 활성 데이터를 획득합니다.

예) SMS, 연락처(Contacts), 통화 기록(Call Logs)

정보를 획득하기 위하여 APK의 설치를 필요로 합니다.

정보를 모으기 위하여 ADB 백업 명령을 수행합니다.

 

Full Image

디바이스의 전체 메모리 블록을 획득합니다.

다만, 디바이스에 root 레벨의 접근이 허용되어야만 합니다.

운영체제 제조사가 설치한 보호(protection)를 제거하는 보안 예외(security exception)를 설치할 때 이미징이 가능하게 됩니다.

AXIOM은 Full Image 를 권장합니다.

 

AXIOM Process 안에서 사용자는 ‘Restore Device State’ 옵션을 설정할 수 있습니다.

기본적으로 quick image를 하기 위해 설치된 .APK 파일은 이미징이 완료된 이후에 해당 디바이스에 남겨 집니다.

이것은 해당 디바이스에 .apk 파일을 남길 뿐만 아니라, 다음 디렉토리 아래에 모아 놓은 데이터도 남깁니다.

/data/com.magnetforensics.acquire/

AXIOM 설정 안에서 ‘Restore Device State’를 체크하면, 데이터를 모은 이후에 삭제해야 할 소프트웨어를 추적할 수 있습니다.

 

Quick Image를 이용하면, 2가지 형태의 데이터가 복구됩니다.

 

Agent Data

Magnet AXIOM agent를 사용하여 복원한 정보를 보여 줍니다.

Agent는 mmssms.db 파일에서 SMS, MMS 데이터를 획득합니다.

Contacts, Call Logs는 Contacts3.db 파일에서 복구됩니다.

실제 데이터베이스 파일은 디바이스의 보안으로 인하여 획득되지 않습니다.

다만, 데이터베이스에서 데이터의 활성화된 정보의 사본은 추출 가능합니다.

 

adb-data.tar

두번째 형식의 데이터는 adb-data.tar 이고, 여기에는 adb 백업 정보에서 나오는 정보를 포함합니다.

tar 파일 안에는 2개의 폴더가 있습니다.

Shared

운영체제와 internal (emulated) data, 외부의 microSD 카드로 부터의 정보를 포함합니다.

Apps

주요 어플리케이션 또는 제3의 어플리케이션에서 백업하기 위해 개발자가 선택한 정보를 포함합니다.

이것은 디바이스에 대한 진정한 파일시스템 사본은 아닙니다.

개발자가 백업을 위해 선택한 것 이며, 보호되지 않는 파일시스템의 일정 영역에 해당할 뿐 입니다.

 

Data From Other Sources

AXIOM은 다음과 같은 다수의 모바일 도구에서 만들어진 이미지 파일을 지원합니다.

- UFED

- XRY

- Lantern

- MPE 등

 

전용 이미지 파일을 선택할 수 있지만, 최고의 결과를 위해서는, .bin 이나 .z01 파일과 같은 raw image 파일을 선택하는 것이 좋습니다.

Select Evidence Source --> Mobile --> [OS] --> Load Evidence --> Image

안드로이드나 윈도우폰 디바이스에서의 JTAG, Direct eMMC (ISP), 또는 Chip-off 추출과 같은 다른 방법도 처리를 위해 raw files로 추가 될 수 있습니다.

안드로이드 운영체제는 iOS 디바이스와 비슷한 분석 결과물을 제공합니다.

SMS/MMS, Call logs, Contacts, Web history와 같은 상당수 비슷한 중요 아티팩츠들이 파싱됩니다. 그러나 그것의 출처는 각기 다릅니다.

어떤 어플리케이션은 둘 모두의 운영체제를 지원하고 있으나, 그것의 저장 위치나 데이터베이스 체계는 완전히 다를 수 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)