[Mobile Forensics] 기본 원칙과 기본 장비 등

안녕하세요. 도깬리 포렌식스 입니다.

오늘 부터는 모바일 포렌식에 대해 알아 봅니다. 날씨가 겨울 답지않게 매우 포근하네요. 모두 화이팅하세요!!!

 

Evidence Collection and Reservation

Seized --> isolated --> transported --> stored securely --> extracted/analyzed

포렌식 분석관은 조사/리뷰팀의 조사관과 소통하여 현장에 어떠한 모바일 디바이스가 존재하는지 확인한 다음, 적절한 도구와 장비를 갖추고 현장에 임하여야 합니다.

증거를 확보할 적절한 법률적 권한(proper legal authority)의 존재 여부를 확인하여야 합니다.

 

휴대전화 압수와 관련된 기본 장비들

- Faraday Box

 

참조 : https://mosequipment.com/products/mission-darkness-blockbox-lab-xl

 

모바일 디바이스를 네트워크 통신으로부터 격리시킵니다.

 

- Faraday Bag(s)

위와 같은 기능을 합니다.

봉인되어야 한다

전원 케이블이나 기타 데이터 케이블과 격리되어야 합니다.

 

- External power

비밀번호, PIN code, patter locks 이 확인되면 문서화 해두어야 합니다.

디바이스의 전원이 꺼져 있다면, 그대로 두어야 합니다.

현장에서 처리가 불가능하면 전원을 끄고, 배터리는 분리해야 합니다.

 

전원 차단의 장점

통화 기록(call logs)과 마지막 cell tower의 위치를 보존할 수 있습니다.

삭제된 데이터에 대한 덮어쓰기를 방지할 수 있습니다.

데이터 손괴 신호(data destruction signals)를 예방합니다.

부적절한 모바일 폰의 취급을 방지할 수 있습니다.

모바일 디바이스가 켜져 있고, 잠겨 있지 않은 상태이면 취급에 특히 주의해야 합니다.

비행기모드로 전환해도 Wi-Fi에 연결될 가능성은 항상 있습니다.

비행기모드로 전환하는 것 보다 Faraday box/bag 사용하거나 전원을 차단하거나 배터리를 분리할 것을 권장합니다.

포렌식 조사용 SIM 카드로 교체하여 잠금상태를 우회할 수 있습니다.

모바일 디바이스를 입수할 때 주변기기도 확보하여야 합니다.

예) 충전기, 케이블, 병렬장치, 매뉴얼 등

 

모바일 디바이스는 다음과 같은 2개의 카테고리로 나뉘어 집니다.

- GPS Devices

제조사와 모델명을 확인합니다.

- Cell Phones/Tables

동일한 모바일 포렌식 도구에서 둘 다 지원 가능합니다.

 

휴대폰 특정을 위한 4가지 요소

- 제조사 (Vendor)

 

- 통신사 (Network Carrier)

제조사와 통신사를 혼동하는 경우가 있습니다.

통신 요금을 청구하는 회사가 통신사입니다.

 

- 네트워크 유형 (Network type)

3대 휴대전화 네트워크 : GSM, CDMA, TDMA

네트워크 유형을 확인하기 위해서는 배터리 아래를 살펴보아야 합니다.

만약 SIM 카드가 없다면, CDMA일 가능성이 높습니다.

그러나 다음과 같이 네트워크 유형 파악에 어려운 요소도 있습니다.

. GSM/CDMA 겸용 디바이스도 있음

. 최근 CDMA 디바이스에 데이터 통신을 원활히 하기 위하여 SIM 카드를 포함시키는 경향도 있음

 

- 모델명 (Model number)

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Mobile Device Forensics 2016 (IACIS)