안녕하세요. 도깬리 입니다.
정말 오랜만에 찾아 뵙네요. 그간 개인적으로도 회사에서도 많은 일이 있었습니다. 누구에게나 재충전할 시간은 필요한 법 !!! 여러분도 힘내십시요, 화이팅~~~
iOS는 스마트폰, 테블릿에 관한 선도적인 운영체제 입니다.
모바일 디바이스의 근본적인 구성요소를 이해해야 포렌식 과정에서 발생할 수 있는 잠재적 심각성을 인식할 수 있습니다.
디바이스에 대한 조사를 착수하기 전에 또 다른 기기가 존재하는지, 관련 구성품이 있는지 여부를 확인해야 합니다.
iPhone models
2007. 6. : 1세대 아이폰이 등장하였습니다.
iphone SE, 7, 7 Plus, 8, 8Plus, X 시절
물리적 획득 방법이 어려워 지기 시작하였습니다.
iPhone 5 부터
디바이스에서 데이터를 물리적으로 복원하는 데 이용할만한 방법이나 도구가 없거나 부족하였습니다.
다만, jailbroken 방법론은 예외로 봅니다.
iPhone이 잠겨져 있지 않았다면 파일시스템과 논리적 획득이 가능할 수 있습니다. 오늘날에도 통용되는 방법론입니다.
Identifying the correct hardware model
아이폰을 조사하기 전에 정확한 하드웨어 모델과 펌웨어 버전을 확인해두는 게 좋습니다.
비록 디바이스를 물리적으로 지원한다고 할지 라도 아티팩트(조사 대상 아이템)를 복호화하기 위해서는 패스코드(passcode)를 필요로 합니다.
무차별공격(brute-force attack)으로 디바이스의 패스코드를 확인할 수도 있습니다.
디바이스의 뒷면에 표시되는 모델 번호를 적어 두어야 합니다.
iPhone 의 펌웨어 버전 정보 확인 방법
Settings --> General --> About --> Version
Libimobiledevice 라이브러리의 ideviceinfo 명령어 기반 도구
Iphone의 모델명과 그것의 운영체제 버전정보를 보여 줍니다.
해당 라이브러리는 비록 그 디바이스가 패스코드로 잠겨져 있더라도 iphone과 통신 가능한 경우도 있었습니다.
실습 (ideviceinfo)
macOS 10.12.6 에서 아이폰 모델명과 iOS 버전 정보 확인하기
터미널 어플리케이션을 연다
다음 명령어를 실행하여 Homebrew를 다운로드하고 설치한다.
$ ruby –e “$ < /dev/null 2> /dev/null
설치하면, libimobiledevice 라이브러리를 설치할 준비가 된 것 입니다.
$ brew install libimobiledevice
USB 케이블을 이용하여 iPhone을 Mac 워크스테이션에 연결하고 ideviceinfo 명령어를 –s 옵션과 함께 실행합니다.
$ ideviceinfo –s
실습 (iExplorer)
무료 도구이고, Windows PC에서 iOS 디바이스 정보를 접근할 수 있게 해주었습니다.
조사자는 그들이 갖고 있는 도구와 방법론이 아이폰을 지원하는 것인지 확인하기 위하여 디바이스의 모델명을 확인해야 합니다.
분석용 외장하드가 전체 포렌식 이미지 보다 충분히 크다는 것을 확인하기 위하여 아이폰의 내부 저장영역의 크기를 체크해야 합니다.
디바이스를 적절히 격리시키기 위해, 디바이스의 네트워크 성능도 체크해야 합니다.
아이폰 모델별 상세 명세와 기능
iPhone 5, 5C, 5S의 주요 변화 중 하나는 Lightning connector 였습니다.
iPhone 5 이전의 디바이스는 30-pin USB dock connector를 사용하였습니다. (우리나라에서는 iPhone 4S까지 사용)
iPhone 5 이후 새로운 아이폰은 8-pin Lightning connector를 사용하였습니다.
Full Disk Encryption
암호화된 디바이스는 획득하는 동안 추가적인 조치(암호 해제 등)가 필요합니다.
조사자는 폰이 처음으로 사용되었을 때 설치하였던 초기 버전을 아는게 좋습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : Practical Mobile Forensics (Rohit Tamma)
'Mobile Forensics' 카테고리의 다른 글
| [Mobile Forensics] 포렌식 수행 수칙(Good forensic practices) (0) | 2024.03.12 |
|---|---|
| [Mobile Forensics] 조사와 분석, 증거의 원칙 (0) | 2024.02.29 |
| [Mobile Forensics] Data acquisition 방법과 잠재적 증거 유형 (0) | 2024.02.12 |
| [Mobile Forensics] Mobile Forensic Tool Leveling System (0) | 2024.02.03 |
| [Mobile Forensics] 모바일 포렌식 수행 과정 (2) (0) | 2024.01.29 |