안녕하세요. 도깬리 포렌식스 입니다.
오늘은 IOS 디바이스와 IOS Encryption에 대해 알아 보겠습니다. 모두 기쁜 성탄절 되세요!!!
iOS Device
원래 iPhone OS 라고 불리던 것이 2010년부터 iOS 로 명명되었습니다.
OS X와 iOS는 유닉스 파일 시스템을 기반으로 만들어 졌습니다.
iOS와 OS X의 기본적인 디렉토리 구조가 비슷할지 몰라도, 각 시스템이 Apps와 User data를 구성하는 방법에서는 차이가 있습니다.
모든 앱들은 일종의 ‘섬(Sandbox)’ 형태를 보입니다.
일반적으로 사용되는 iOS 앱의 디렉토리는 다음과 같습니다.
<Application_Home>/AppName.app
앱 그 자체를 포함하는 bundle 디렉토리 입니다.
<Application_Home>/Documents/
중요한 사용자 문서와 앱 데이터 파일을 저장합니다.
<Application_Home>/Documents/Inbox
이메일의 경우 이 디렉토리에 첨부파일을 위치하게 하여, 앱에서 첨부파일을 열 때 이 디렉토리를 참조합니다.
<Application_Home>/Library/
사용자 데이터 파일이 아닌 나머지 파일에 대한 최상위 디렉토리 입니다.
<Application_Home>/tmp/
임시 파일은 이 디렉토리에 저장됩니다.
iOS Encryption
Cellebrite와 같은 포렌식 도구로 무차별 공격법으로 패스코드를 획득하는 경우도 있습니다.
iOS 데이터의 획득 방법
- 물리적 메모리 추출 (Physical Memory Extraction)
삭제된 파일 까지 가장 많은 데이터를 확보할 수 있으므로 권장되는 방법이긴 하나, 아이폰 4까지만 물리적 획득이 가능합니다.
- dd 또는 dmg 이미지 파일 생성
관련 도구
Cellebrite, XRY, lantern, Elcomsoft, MPE
- 파일시스템 덤프 (File system dump)
물리적 이미지의 하위 셋입니다.
관련 도구
Cellebrite, Blacklight, Oxygen, XRY
- AFC 백업 (Apple File Connection backup)
아이튠즈를 사용하여 백업합니다.
아이튠즈가 설치되어 있어야 하나, 구동할 필요까지는 없습니다.
포렌식 조사관은 사용자 컴퓨터에 남아 있는 AFC 백업파일을 찾아 보아야 합니다.
백업파일의 위치
- Windows XP
C:\Documents and Settings\Application Data\Apple Computer\MobileSync\Backup
- Windows Vista/7/8 ~
C:\users\AppData\Roaming\Apple Computer\MobileSync\Backup
- OS X
~/Library/Application Support/MobileSync/Backup
백업파일에 패스워드를 설정할 수 있고, 이 패스워드는 모바일 디바이스의 패스코드와는 전혀 관계가 없습니다.
iOS 4 (아이폰 3G) 이후로 사용자 파티션을 암호화 하여 데이터를 보호하기 시작하였습니다.
아이폰 4 또는 5에 대한 물리적 이미지 획득 가능하고 이미지 파일 시스템을 읽을 수 있습니다. (실무상으로는 아이폰 4까지만 물리적 이미지 획득 가능)
그 이후로는 논리적인 획득만 가능합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : Mobile Device Forensics 2016 (IACIS)
'Mobile Forensics' 카테고리의 다른 글
[Mobile Forensics] 휴대폰 메모리에 대하여 (0) | 2023.12.30 |
---|---|
[Mobile Forensics] 모바일 보안 솔루션 이해하기 (0) | 2023.12.27 |
[Mobile Forensics] Android File System 소개 (0) | 2023.12.22 |
[Mobile Forensics] Android OS와 기본 파티션 (0) | 2023.12.20 |
[Mobile Forensics] 일반적인 작업 순서 등 (0) | 2023.12.18 |