안녕하세요. 도깬리 포렌식스 입니다.
오늘은 모바일 포렌식의 도구 체계에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
도구
범용 모바일 포렌식 도구가 불가능한 이유 (모든 모바일 디바이스에서 모든 데이터를 획득할 수 있는 도구가 없는 이유)
- 수많은 제조사가 존재합니다.
- 여러가지 운영 체제가 존재합니다.
- 수많은 통신사가 존재합니다.
각각의 분석도구의 기능을 잘 숙지해 두면, 상황별로 맞춤형 도구를 결정할 수 있게 됩니다.
모바일 포렌식 도구 분류 체계 (Mobile Forensics Tool Classification System)
Sam Brothers가 2008년에 발표한 것 입니다.
오래되어 현재 기술과는 맞지 않는 면도 있지만, 재미삼아 읽어보시기 바랍니다.
Level 1 (Manual Extraction)
모바일 디바이스의 화면상에 보이는 정보를 디지털 카메라 등으로 기록합니다.
삭제된 데이터에 대한 복구가 불가능합니다.
대부분의 데이터는 접근 자체가 어려운 면이 있습니다..
관련 도구
- Ramsey 사의 STE3000FAV
- Fernico 사의 ZRT2 HD
Level 2 (Logical Extraction)
Manual Extraction 방식보다 더 빠르게 데이터를 추출할 수 있습니다.
비할당 영역과 같은 일부 데이터에는 접근이 어렵습니다.
케이블, 블루투스, 적외선 통신 등을 이용할 수 있습니다.
관련 도구
- Susteen 사의 SecureView3
- Compelson Lab 사의 MOBILedit! Compete
Level 3 (Physical Extraction)
JTAG 연결이나 Flasher box를 사용하여 비할당 영역에 대한 접근이 가능합니다.
JTAG: 진단용 커넥터(diagnostic connector)입니다.
이 단계에서 기능하는 도구를 Physical Extraction, Hex Dumping 도구라고도 부릅니다.
보통 조사자의 컴퓨터를 USB 케이블을 이용하여 Flasher box에 연결합니다.
Flasher box
모바일 디바이스의 JTAG 연결부 또는 데이터 케이블 포트를 통해서 모바일 디바이스에 연결됩니다.
종종 운영체제를 우회하여 모바일 디바이스의 메모리와 직접적으로 통신합니다.
이 레벨에서의 많은 도구들은 원래 포렌식용으로 설계되었던 것이 아니었습니다.
증거로서 사용하기 전에 과거 훈련받은 경험있는 수사관에 의해 수행되어야 합니다.
관련 도구
- MicroSystemation 사의 XRY Complete
- CelleBrite 사의 UFED Touch Ultimate
Level 4 (Chip-off)
칩 오프는 모바일 디바이스의 NAND 또는 NOR 칩을 제거하여 진행됩니다.
메모리는 EEPROM 리더기에 칩을 올려 놓은 상태에서 읽혀집니다.
읽혀진 후 해당 데이터가 해석되고 수작업에 의하거나 자동화된 도구에 의해 정렬됩니다.
모바일 디바이스에 저장된 전체 정보에 대한 조사가 가능하게 됩니다.
시간이 많이 걸리며, 때로는 플래쉬 칩의 제거 기술(removal of flash chips)과 역공학(reverse engineering) 기술을 요구하기도 합니다.
플래쉬 칩 제거 과정에서 칩이 손상될 위험성도 있습니다.
칩 제거 성공률은 보통 80% 정도 입니다.
이러한 위험성을 미리 고지해야 합니다.
칩으로부터 데이터를 읽어 내고, 그것을 복호화 하는 어려움도 있습니다.
즉, 칩을 제거하는 기술 --> 장착하는 기술 --> 읽는 기술 --> 복호화 하는 기술 모두 필요합니다.
관련 도구
- Soft Center 사의 Flash Extractor
- Jingtian Electronic 사의 UPNP 828
Level 5 (Micro Read)
플래쉬 칩이 이미 제거되어 있고, 해당 칩의 일부만이 남아 있을 때 시도해 볼 만한 방법입니다.
폭발 등으로 인해 칩이 심각하게 훼손되어 있을 때 고려할 만 합니다.
관련된 상업용 전문 도구 또는 장비가 부재합니다.
관련 도구
- Hitachi 사의 S-450 SEM
- ERSA 사의 IR 550
보통의 상업용 도구들은 하나의 레벨만 지원하는 것이 아니라 여러 개의 레벨을 지원합니다. (보통 레벨 2와 레벨 3을 지원함)
- CelleBrite 사의 UFED Touch
- MicroSystemation 사의 XRY Complete
한 단계 위로 올라 갈수록 더 기술적이며, 더 시간이 많이 걸리고, 더 많은 훈련을 필요로 합니다.
도구의 선택시 다음 사항을 고려하여야 합니다.
- 사건의 유형 (type of case)
- 소요 시간 (time available)
- 조사자의 전문성 (expertise of the available examiners)
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : Mobile Device Forensics 2016 (IACIS)
'Mobile Forensics' 카테고리의 다른 글
| [Mobile Forensics] Android File System 소개 (0) | 2023.12.22 |
|---|---|
| [Mobile Forensics] Android OS와 기본 파티션 (0) | 2023.12.20 |
| [Mobile Forensics] 일반적인 작업 순서 등 (0) | 2023.12.18 |
| [Mobile Forensics] 휴대전화의 물리적 구성요소 등 (0) | 2023.12.13 |
| [Mobile Forensics] 기본 원칙과 기본 장비 등 (0) | 2023.12.10 |