Mobile Forensics

[Mobile Forensics] Mobile Forensic Tool Leveling System

도깬리 2024. 2. 3. 13:36

안녕하세요. 도깬리 포렌식스입니다.

오늘은 Mobile Forensics Tool Leveling System에 대해 알아보겠습니다. 모두 화이팅 하세요!!!

 

Mobile forensic tool leveling system

어떠한 하나의 도구만으로는 분석 목적을 충족시키는데 한계가 있습니다.

Sam Brothers는 다음과 같이 Cellular phone tool leveling pyramid (2009)로 정의를 내린 바가 있습니다.

 

 

 

모바일 디바이스 포렌식 도구 분류 시스템의 목적

도구의 조사 방법론을 기반으로 포렌식 도구를 분류합니다.

윗단계로 올라 갈수록 기술적 난이도, 복잡도, 포렌식의 강도, 분석 시간, 증거가 훼손될 위험성이 증가합니다.

 

Manual extraction

단순히 디바이스 상에서 데이터를 스크롤 하면서 직접보는 것을 의미합니다.

발견된 증거는 사진 촬영하여 문서화 해 둡니다.

 

Logical extraction

모바일 디바이스를 포렌식 하드웨어 또는 포렌식 워크스테이션에 연결하여 획득하는 것을 의미합니다.

현재 이용 가능한 대부분의 포렌식 도구는 Logical extraction 레벨에서 작동하는 것 입니다.

이러한 방법을 쓰게 되면 모바일 디바이스에 데이터를 쓰게 되어 증거의 무결성이 훼손될 수 밖에 없습니다.

삭제된 데이터는 일반적으로 이러한 방식으로는 접근하거나 복원하는 것이 불가능합니다.

 

Hex dump

Physical extraction으로 불리워집니다.

디바이스를 포렌식 워크스테이션에 연결 --> 해당 폰에 서명되지 않은 코드나 부트로더를 설치 --> 폰에서 컴퓨터로 메모리 덤프 명령을 실행하는 방식입니다.

비할당 영역에서 삭제된 파일에 대한 복원 작업이 가능합니다.

 

Chip-off

디바이스의 메모리 칩에서 직접 데이터를 획득하는 것 입니다.

칩이 디바이스에서 물리적으로 제거, 저장된 데이터를 추출하기 위해서는 칩 리더기(chip reader) 또는 보조 폰(second phone)이 필요합니다.

칩의 형태가 매우 다양하기 때문에 기술적으로 매우 어렵습니다.

메모리 칩을 떼어 내고(desoldering) 열을 가해야(heating) 하기 때문에 하드웨어 수준의 배경지식이 필요하고, 비용도 비싼 편입니다.

가능한 한, Chip-off 하기 전에 다른 수준의 추출 방법론을 시도하는 것이 좋습니다.

Chip-off 방식은 주로 메모리의 상태를 정확하게 보존하는 것이 반드시 필요한 상황에서 선택가능한 방식입니다.

디바이스가 훼손되었으나 메모리칩이 온전할 때 유일한 방법론이기도 합니다.

 

Chip은 다음과 같은 기술을 사용하여 데이터를 열람하게 합니다.

- Joint Test Action Group (JTAG)

- 디바이스의 Test Access Ports (TAPs)에 연결하여 분석

- 메모리 칩에 저장된 raw data 를 전송함

디바이스가 화면-잠김 되어 있을 때 조차도 이 방법론은 효과가 있습니다.

 

Micro read

메모리 칩에서 보이는 데이터를 수작업으로 열람하고 해석하는 것 입니다.

전자현미경을 사용하여 칩에 있는 물리적인 게이트를 분석하고 게이트 상태를 0인지 1인지 해석합니다.

전체 과정은 매우 시간이 많이 소요되고 비용 또한 매우 고가입니다.

메모리와 파일시스템에 관한 상당한 배경지식과 훈련을 필요로 합니다.

국가적인 보안 위기와 맞먹는 고난도 사건에만 적용할 만한 방법론 입니다.

이러한 방법론을 수행할 만한 상업용 도구가 매우 부족한 편입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Practical Mobile Forensics (Rohit Tamma)