Mobile Forensics

[Mobile Forensics] iOS 디바이스와 데이터 획득

도깬리 2023. 12. 25. 06:16

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 IOS 디바이스와 IOS Encryption에 대해 알아 보겠습니다. 모두 기쁜 성탄절 되세요!!!

 

iOS Device

원래 iPhone OS 라고 불리던 것이 2010년부터 iOS 로 명명되었습니다.

OS X iOS는 유닉스 파일 시스템을 기반으로 만들어 졌습니다.

iOSOS X의 기본적인 디렉토리 구조가 비슷할지 몰라도, 각 시스템이 AppsUser data를 구성하는 방법에서는 차이가 있습니다.

모든 앱들은 일종의 (Sandbox)’ 형태를 보입니.

일반적으로 사용되는 iOS 앱의 디렉토리는 다음과 같습니다.

 

https://developer.apple.com/library/archive/documentation/FileManagement/Conceptual/FileSystemProgrammingGuide/FileSystemOverview/FileSystemOverview.html

 

<Application_Home>/AppName.app

앱 그 자체를 포함하는 bundle 디렉토리 입니다.

 

<Application_Home>/Documents/

중요한 사용자 문서와 앱 데이터 파일을 저장합니다.

 

<Application_Home>/Documents/Inbox

이메일의 경우 이 디렉토리에 첨부파일을 위치하게 하여, 앱에서 첨부파일을 열 때 이 디렉토리를 참조합니다.

 

<Application_Home>/Library/

사용자 데이터 파일이 아닌 나머지 파일에 대한 최상위 디렉토리 입니다.

 

<Application_Home>/tmp/

임시 파일은 이 디렉토리에 저장됩니다.

 

iOS Encryption

Cellebrite와 같은 포렌식 도구로 무차별 공격법으로 패스코드를 획득하는 경우도 있습니다.

 

iOS 데이터의 획득 방법

- 물리적 메모리 추출 (Physical Memory Extraction)

삭제된 파일 까지 가장 많은 데이터를 확보할 수 있으므로 권장되는 방법이긴 하나, 아이폰 4까지만 물리적 획득이 가능합니다.

 

- dd 또는 dmg 이미지 파일 생성

관련 도구

Cellebrite, XRY, lantern, Elcomsoft, MPE

 

- 파일시스템 덤프 (File system dump)

물리적 이미지의 하위 셋입니다.

관련 도구

Cellebrite, Blacklight, Oxygen, XRY

 

- AFC 백업 (Apple File Connection backup)

아이튠즈를 사용하여 백업합니다.

아이튠즈가 설치되어 있어야 하나, 구동할 필요까지는 없습니다.

포렌식 조사관은 사용자 컴퓨터에 남아 있는 AFC 백업파일을 찾아 보아야 합니다.

 

백업파일의 위치

- Windows XP

C:\Documents and Settings\Application Data\Apple Computer\MobileSync\Backup

- Windows Vista/7/8 ~

C:\users\AppData\Roaming\Apple Computer\MobileSync\Backup

- OS X

~/Library/Application Support/MobileSync/Backup

 

백업파일에 패스워드를 설정할 수 있고, 이 패스워드는 모바일 디바이스의 패스코드와는 전혀 관계가 없습니다.

iOS 4 (아이폰 3G) 이후로 사용자 파티션을 암호화 하여 데이터를 보호하기 시작하였습니다.

아이폰 4 또는 5에 대한 물리적 이미지 획득 가능하고 이미지 파일 시스템을 읽을 수 있습니다. (실무상으로는 아이폰 4까지만 물리적 이미지 획득 가능)

그 이후로는 논리적인 획득만 가능합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Mobile Device Forensics 2016 (IACIS)