안녕하세요. 도깬리 포렌식스 입니다.
오늘은 모바일 포렌식에서의 일반적인 작업 순서에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
Processing and Examination
대부분의 사건에서의 일반적인 작업 순서는 다음과 같습니다.
(1) 본체에서 SIM Card를 제거합니다.
(2) SIM Card에 저장된 정보를 추출합니다.
(3) 본체에서 Micro SD Card (또는 다른 형태의 이동식 메모리)를 제거합니다.
(4) Micro SD Card에 대한 포렌식 이미지 파일을 생성합니다.
(5) SIM Card와 Micro SD Card를 다시 본체에 삽입합니다.
(6) 격리 방법론 고려
예: Faraday cage, CNIC (Cellular Network Radio Isolation Card)
(7) 본체의 전원을 켭니다.
(8) 본체로부터 정보를 추출합니다.
상기 작업 순서는 일반적인 가이드라인 일 뿐, 모바일 디바이스의 기술적인 제약과 포렌식 도구의 성능에서 비롯된 수많은 변수로 인하여 모든 모바일 디바이스에 적용할 수 있는 것은 아닙니다.
Verification and Validation
서로 다른 수준의 도구를 이용하여 결과를 비교하는 것을 권장합니다.
- 스마트 폰 화면에서 메시지 개수를 확인하여 사진으로 촬영합니다. (레벨 1)
- 논리적으로 추출하여 메시지 개수를 확인합니다. (레벨 2)
- 위 2개의 결과를 비교합니다.
동일 수준의 다른 도구를 이용하여 결과를 비교합니다.
주의 해야 할 점은
- 결과는 도구의 제약사항과 기능 때문에 약간 다를 수도 있습니다.
- 제조사마다 그 결과가 다를 수도 있습니다.
Smartphone File System
내부 데이터 영역은 논리적인 ‘disk’ 구조를 이루며, 파티션, 파일, 폴더를 포함합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : Mobile Device Forensics 2016 (IACIS)
'Mobile Forensics' 카테고리의 다른 글
| [Mobile Forensics] Android File System 소개 (0) | 2023.12.22 |
|---|---|
| [Mobile Forensics] Android OS와 기본 파티션 (0) | 2023.12.20 |
| [Mobile Forensics] 모바일 포렌식 도구의 분류 체계 (0) | 2023.12.15 |
| [Mobile Forensics] 휴대전화의 물리적 구성요소 등 (0) | 2023.12.13 |
| [Mobile Forensics] 기본 원칙과 기본 장비 등 (0) | 2023.12.10 |