[AXIOM] 클라우드 아티팩츠 분석기능 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 AXIOM의 클라우드 아티팩츠 분석기능에 대해 알아 보겠습니다. 모두 화이팅하세요 !!!

 

iCloud Photos

Cloud iCloud Photos 카테고리는 iOS 디바이스에서 iCloud에 업로드 된 사진을 포함합니다.

예) .JPG, .PNG, .MOV, .HEIC 파일

이것은 디바이스의 Camera Roll에 저장된 사진을 포함하며, 반드시 iOS 디바이스로만 찍은 사진일 것을 요구하지는 않습니다.

 

Artifact information은 다음과 같은 정보를 보여 줍니다.

- 사진의 크기

- 촬영 일시

- 추가된 일시

- 캡션(captions)

- 앨범(albums)

- 사진에 대한 랜더링 뷰 (rendered view of the picture)

 

DropBox

Artifact information은 다음과 같은 정보를 보여 줍니다.

- 드롭박스 계정 내의 파일의 위치

- File ID

- File version ID

- 마지막으로 수정된 일시

- 원래의 사진 타임스탬프

- 파일 컨텐츠에 대한 미리보기

 

DropBox에서 추출된 모든 파일과 폴더는 획득하는 과정에서 생성된 .zip 파일 안에서 File system 탐색기로 볼 수 있습니다.

드롭박스에서 획득한 파일에 대한 연결고리(예: MD5 해시값)를 이용하면, 만약 클라우드에 저장된 파일이 하드디스크 등 다른 디바이스에도 저장되어 있는 지 확인 가능합니다.

 

FaceBook

Cloud FaceBook Profile Info 아티팩츠는 획득하는 순간에 해당 계정의 FaceBook 페이지의 사본을 포함합니다.

다음과 같은 사용자 정보를 포함합니다.

- 주소

- 이메일 주소

- 전화번호

- 웹사이트

- 생일

- 성별

- 기타

 

 

AXIOM Cloud는 해당 페이지에서 raw HTML 데이터를 캡쳐하여 AXIOM Examine에서 검색가능하게 합니다

Cloud FaceBook Friends 아티팩츠는 수집시 획득된 계정에 친구로 연결된 사용자를 보여 줍니다.

다음과 같은 정보를 포함한다.

- 친구의 이름

- 그 사람이 가진 친구의 숫자

- 친구의 홈페이지 URL

- 프로파일 사진

 

FaceBook Timeline은 획득된 FaceBook 계정에 대한 타임라인 데이터를 보여 줍니다.

다음과 같은 정보를 포함합니다.

- 상태 업데이트 (status updates)

- 태그된 포스트 (tagged posts)

- 체크인 (check-ins)

- 업로드된 사진 (uploaded photos)

- 프로파일 변경사항 (profile changes)

- 다른 사용자로 부터의 포스트 (posts from other users)

 

Artifact Information에 다음의 정보를 포함합니다.

- FaceBook이 사용한 원래의 Message ID

- 포스트를 만든 사용자의 이름과 FaceBook ID

- 포스트의 유형

- 해당 아티팩츠가 타임라인에 올려진 포스트와 관련 있는지 여부

- 타임라인에 업로드된 사진인지 비디오인지 여부

- 상태 업데이트

- Job이나 프로파일 변경과 같은 일반적인 타임라인 업데이트

- 포스트의 텍스트

- 포스트의 permanent link

- 포스트의 생성일시

 

포스트의 첨부물도 획득 및 열람 가능 합니다.

각 타임라인 포스팅으로부터 HTML 데이터를 캡쳐하여 랜더링한 후 미리보기에서 보여 줍니다.

Cloud FaceBook Messenger Messages 카테고리에서는 획득된 페이스북 사용자 계정과 관련된 모든 메시지를 포함합니다.

또한 메신저 서비스로 공유한 첨부물과 링크도 포함합니다.

각 개별적인 메시지도 보여 줍니다.

처리 과정에서 Identifiers가 추출되며, 그것은 Refined Results --> Identifiers 카테고리로 모아 줍니다.

각 개인 간의 link를 맵핑하기위해 Connections을 만들어 줍니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)