도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 iOS 백업 파일에 대해 알아보겠습니다. 모두 화이팅 하세요!!! iOS Backup Files 가장 인기 있는 모바일 포렌식 방법론 --> 사용자의 백업 파일을 조사하는 것 입니다. Brief Understanding of an Apple iOS Backup Apple iOS 백업은 iCloud 또는 iTunes가 만들어 내는 백업을 말합니다. Wi-Fi 또는 3/4G 데이터 연결을 통해 만들어 냅니다. (iCloud 이용법) 컴퓨터에 모바일 디바이스를 동기화하여 만들어 냅니다. (iTunes 이용법) 백업은 등록된 애플 계정에 저장될 것 입니다. 애플은 사용자에게 ‘내 디바이스 찾기(Track or find my iDevice)’ 또는 ‘원격으로 잠그거나 ..

안녕하세요. 도깬리 포렌식스 입니다. 애독자님들 새해 더욱 건강하시고, 복 많이 받으세요.^^ 오늘도 플래시 메모리에 대해 알아 봅니다. 모두 화이팅 하세요!!! Flash peculiarities in the acquisition process 포렌식 분석관은 플래시 메모리 내부에서 일어나는 것을 이해하고 있어야 합니다. Garbage Collection 잘 알려진 동작이지만, 획득된 디바이스를 위한 대응법이 문서화되어 있지 않는 경향이 있습니다. 백그라운드 동작입니다. 이것은 모바일 디바이스의 전원이 켜졌을 때 사용하지 않는 블록에 잔존하는 잠재적 증거 데이터를 자동으로 파괴하는 결과를 초래할 수 있다. Effective Management of bad blocks 만약 FTL(Flash Transl..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 휴대폰 메모리에 대하여 알아 보겠습니다. 모두 화이팅 하세요!!! Cellphone Memory 모바일 핸드셋에는 Flash Memory로 알려진 Solid State Memory (비휘발성임)가 장착되어 있습니다. 2가지 유형의 플래시 메모리가 있습니다. NOR 인텔이 개발하였습니다. 빠른 읽기 속도를 제공합니다. RAM에 어플리케이션을 복사하지 않고 그 자리에서 어플리케이션을 바로 실행할 수 있습니다. 쓰기와 삭제 성능이 떨어지고 비쌉니다. NAND 대용량 스토리지에 효과적입니다. 빠른 쓰기와 삭제 속도를 제공합니다. NOR보다 저렴합니다. 플래시 메모리 관리가 가능합니다. NOR에 비해 수명이 깁니다. 복잡한 I/O 인터페이스를 필요로 합니다. NOR 와..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 모바일 보안 장치에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Hardware Protection 모든 iOS 디바이스에는 전용 AES 256 암호화 엔진이 포함되어 있습니다. AES 엔진과 함께 SHA-1이 하드웨어에서 실행됩니다. 디바이스의 Unique ID(UID)와 디바이스의 그룹 ID(GID)는 제조과정에서 어플리케이션 프로세서에 삽입된 AES 256-bit Key 입니다. UID는 데이터가 어떤 특정한 디바이스에 암호학적으로 연결되게 합니다. UID, GID와는 별도로 암호학적 키는 CTR DRBG를 기반으로 하는 알고리즘을 이용하여 시스템의 random number generator(RNG)에 의해 만들어집니다. Effaceable Stora..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 IOS 디바이스와 IOS Encryption에 대해 알아 보겠습니다. 모두 기쁜 성탄절 되세요!!! iOS Device 원래 iPhone OS 라고 불리던 것이 2010년부터 iOS 로 명명되었습니다. OS X와 iOS는 유닉스 파일 시스템을 기반으로 만들어 졌습니다. iOS와 OS X의 기본적인 디렉토리 구조가 비슷할지 몰라도, 각 시스템이 Apps와 User data를 구성하는 방법에서는 차이가 있습니다. 모든 앱들은 일종의 ‘섬(Sandbox)’ 형태를 보입니다. 일반적으로 사용되는 iOS 앱의 디렉토리는 다음과 같습니다. /AppName.app 앱 그 자체를 포함하는 bundle 디렉토리 입니다. /Documents/ 중요한 사용자 문서와 앱 데이터 파..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Android File System에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Android File System 리눅스 처럼, 파일 계층구조가 ‘/’ 아래 하나의 단일한 트리를 구성합니다. 윈도우 운영체제에서 볼 수 있는 ‘드라이브’ 라는 개념이 없습니다. 로컬인지 여부, 원격지인지 여부의 구분이 없습니다. 일반적인 플래시 메모리 파일 시스템은 다음과 같습니다. - exFAT extended File Allocation Table - F2FS Flash-Friendly File System 삼성이 2012년에 소개한 파일시스템입니다. - JFFS2 Journal Flash File System version 2 Android Open Source Pr..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Android 운영체제와 기본 파티션에 대해 알아 봅니다. 모두 화이팅 하세요!!! Android Phone OS 2005년에 구글이 안드로이드를 인수합니다. 2007년에 Open Handset Alliance를 설립하면서 Android 시스템을 공개하였습니다. Green Android logo: 구글의 Irina Block 이 디자인 하였습니다. 2008년에 안드로이드를 이용한 최초의 스마트폰이 출시되었습니다. HTC Dream Swiping, tapping, pinching, reverse pinching 기술을 적용하였습니다. 안드로이드 소스 코드는 구글이 Apache 라이선스에 의하여 공개되었습니다. 안드로이드 어플리케이션은 SandBox 안에서 동작합..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 모바일 포렌식에서의 일반적인 작업 순서에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Processing and Examination 대부분의 사건에서의 일반적인 작업 순서는 다음과 같습니다. (1) 본체에서 SIM Card를 제거합니다. (2) SIM Card에 저장된 정보를 추출합니다. (3) 본체에서 Micro SD Card (또는 다른 형태의 이동식 메모리)를 제거합니다. (4) Micro SD Card에 대한 포렌식 이미지 파일을 생성합니다. (5) SIM Card와 Micro SD Card를 다시 본체에 삽입합니다. (6) 격리 방법론 고려 예: Faraday cage, CNIC (Cellular Network Radio Isolation Car..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 모바일 포렌식의 도구 체계에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! 도구 범용 모바일 포렌식 도구가 불가능한 이유 (모든 모바일 디바이스에서 모든 데이터를 획득할 수 있는 도구가 없는 이유) - 수많은 제조사가 존재합니다. - 여러가지 운영 체제가 존재합니다. - 수많은 통신사가 존재합니다. 각각의 분석도구의 기능을 잘 숙지해 두면, 상황별로 맞춤형 도구를 결정할 수 있게 됩니다. 모바일 포렌식 도구 분류 체계 (Mobile Forensics Tool Classification System) Sam Brothers가 2008년에 발표한 것 입니다. 오래되어 현재 기술과는 맞지 않는 면도 있지만, 재미삼아 읽어보시기 바랍니다. Level 1 (Manua..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 휴대전화의 물리적 구성요소 등에 대해 설명합니다. 모두 화이팅 하세요!!! 휴대전화의 4대 물리적 구성요소 - 본체 (Handset) Cellular radio, 휘발성 메모리, 스피커, 마이크로폰, 입력 장치, LCD 스크린 등을 포함합니다. - 배터리 (Battery) - SIM 카드 (SIM card) 선택 사항이긴 하나 GSM과 TDMA 모바일 디바이스의 경우에는 필수 장치입니다. CDMA 디바이스의 경우에는 선택 옵션이므로 조사 현장에서 대상자의 사생활 및 영업활동 보장을 위하여 SIM 카드를 교부하여도 증거분석을 하는데 큰 문제가 없습니다. 크기에 따라 보통 3가지 종류로 나뉩니다. * Mini 가장 많이 이용되는 크기입니다. * Micro 최신 스..