[Mobile Forensics] 모바일 포렌식 수행 과정 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 모바일 포렌식 수행과정 2회차 입니다. 모두 화이팅 하세요!!!

 

https://www.salvationdata.com/knowledge/what-is-mobile-forensics/

 

 

The processing phase

가능하면 포렌식적으로 안전하고 반복 가능한 시험을 거친 방법론을 적용하여야 합니다.

 

물리적 획득 (Physical acquisition)

가장 선호하는 방법론 입니다.

물리적 획득 과정에서는 그나마 가장 최소화된 변경이 디바이스에 일어나게 됩니다.

 

논리적 획득 (Logical acquisition)

모바일 디바이스의 파일시스템을 획득하는 것은 논리적 획득 과정입니다.

목표 데이터만을 포함하여 획득되어야 합니다.

 

The verification phase

폰에서 추출된 데이터의 정확성을 검증하여 데이터가 변경되지 않았음을 보증하여야 합니다.

 

추출된 데이터를 기기와 비교(Comparing extracted data to the handset data)

추출된 데이터는 디바이스 그 자체 또는 논리적인 보고서와 비교될 수 있어야 합니다.

 

다양한 도구를 사용, 결과와 비교(Using multiple tools and comparing the results)

정확성을 보증하기 위함입니다.

 

해시값 사용(Using hash values)

모든 이미지 파일은 해시값이 계산되어야 합니다.

데이터가 변경되지 않았음을 보증합니다.

파일을 추출할 경우에는 추출된 파일에 대한 해시값이 계산되어야 합니다.

이것은 무결성을 검증하기 위함입니다.

해시값이 불일치 할 경우에는 그 상황에 대한 설명이 가능해야 합니다.

 

The documenting and reporting phase

포렌식 조사자는 조사과정 전체를 녹취서(contemporaneous notes)의 형식으로 문서화 하여야 합니다.

분석결과는 일정한 형식의 동료 검토(peer review)를 거쳐야 합니다.

 

포렌식 업무 일지와 관련 문서에 기록할 사항은 다음과 같습니다.

- 조사 시작 일시 (The examination start date and time)

- 폰의 물리적 상태 (The physical condition of the phone)

- 폰과 각각의 구성품의 사진 (Photos of the phone and individual components)

- 인수 시점의 폰의 상태 (전원 On/Off 여부) (Phone status when received)

- 폰의 제조사와 모델명 (Phone make and model)

- 이미징에 사용된 도구 (Tools used for the acquisition)

- 조사에 사용된 도구 (Tools used for the examination)

- 조사 중에 발견된 데이터 (Data found during the examination)

- 동료 검토 에게 받은 메모 (Notes from peer review)

 

The presentation phase

모바일 디바이스에서 추출되고 문서화된 정보는 법정에 명확하게 제출될 수 있어야 합니다.

모바일 디바이스로부터 추출된 데이터에 대한 보고서는 종이와 전자 포맷이 있습니다.

발견된 증거물은 문서화 되어야 하고, 증거 그 자체가 설명이 가능한 방식으로 제시되어야 합니다.

발견된 증거물은 명백해야(clear) 하고, 간결해야(concise) 하고, 재현 가능(repeatable)해야 합니다.

대부분의 상용 모바일 포렌식 도구는 시간별 행위 분석(Timeline analysis), 연관 관계 분석(Link analysis)을 제공합니다.

 

The archiving phase

모바일 폰에서 추출된 데이터를 보존하는 것은 매우 중요한 과정입니다.

데이터는 미래에 참고할 것을 염두에 두고, 현재 진행중인 법정에서 이용 가능한 포맷으로 보존되어야 합니다.

데이터는 보존 연한에 맞게 보존되어야 합니다. (Most jurisdictions require that data be retained for long periods of time for the purposes of appeals.)

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Practical Mobile Forensics (Rohit Tamma)