도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM 포렌식 분석 도구에 대한 마지막 회차 입니다. 모두 끝까지 화이팅 하세요 !!! Exporting – Artifacts View AXIOM에서의 Export와 Save 개념을 구분하여 알고 있어야 합니다. Export 실제 파일이 아니라 그 파일의 속성 등 메타데이터를 하나의 output 파일로 만들어 줍니다. Save 실제 파일을 내보내기 하는 것을 의미합니다. Exporting – Portable Case EnCase의 Review Package와 비슷한 개념입니다. ‘True view’ export 기능 메타데이터 컬럼중 보고 싶은 것만 선택하여 그것만 분석 결과에 나타나게 하는 기능입니다. Portable Case는 다음과 같은 경우에 분석을..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM에서의 클라우드 분석 마지막 시간 입니다. 모두 화이팅 하세요 !!! Google Cloud Google Passwords 아티팩츠에서부터 분석을 시작합니다. 사용자가 그동안 접근해왔던 많은 다른 클라우드 계정에 관한 패스워드를 포함하고 있을 수도 있습니다. Cloud Google Recent Devices는 구글 계정에 접근하는데 이용된 다른 디바이스의 세부적인 사항을 보여 줍니다. 이것은 숨겨놓은 디바이스를 찾는데 유용합니다. 디바이스의 위치와 동기화 서비스를 이용한 가장 최근 날짜도 확인 가능합니다. Cloud Google Connected Apps 아티팩츠는 구글 계정에 접근하였던 모든 추가적인 어플리케이션에 대한 상세한 정보를 보여 줍니다. ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 AXIOM의 클라우드 아티팩츠 분석기능에 대해 알아 보겠습니다. 모두 화이팅하세요 !!! iCloud Photos Cloud iCloud Photos 카테고리는 iOS 디바이스에서 iCloud에 업로드 된 사진을 포함합니다. 예) .JPG, .PNG, .MOV, .HEIC 파일 이것은 디바이스의 Camera Roll에 저장된 사진을 포함하며, 반드시 iOS 디바이스로만 찍은 사진일 것을 요구하지는 않습니다. Artifact information은 다음과 같은 정보를 보여 줍니다. - 사진의 크기 - 촬영 일시 - 추가된 일시 - 캡션(captions) - 앨범(albums) - 사진에 대한 랜더링 뷰 (rendered view of the picture) Dr..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM으로 클라우드 아티팩츠 분석하기 2회차 입니다. 오늘도 화이팅 하세요!!! Apple AXIOM Cloud Apple 플랫폼은 사용자의 Apple ID와 관련된 iCloud 서비스에 저장된 정보를 선택할 수 있도록 합니다. Apple ID는 iOS와 macOS 디바이스에서 사용하기 위한 중앙집중화된 로그인 서비스 입니다. 이것은 다음과 같이 iOS 디바이스로부터 백업된 데이터를 포함하기도 합니다. - Full devices backups - Photos - Application data - iCloud에 저장된 e-mails - 사용자의 iCloud Drive 서비스에 저장되어있는 파일 AXIOM Process는 2FA를 이용하여 Apple iClou..

안녕하세요. 도깬리 포렌식스 입니다. 바쁜 일정 때문에 오랜만에 글을 올립니다. 오늘은 AXIOM에서의 클라우드 데이터 분석기능에 대해 알아 보겠습니다. 모두 화이팅 하세요.!!! What is the clould ? 클라우드에서 획득되는 데이터는 로컬 디바이스에 저장된 데이터가 아니라 서버로부터 정보를 추출하는 것으로 이해하여야 합니다. “거기엔 구름은 없어, 그냥 단지 누군가의 컴퓨터만 있을 뿐이야.(There is no cloud, just someone else’s computer.)" 디지털 포렌식 분야에서 조사 대상 데이터의 출처 중 가장 빠르게 증가하고 있는 것은 로컬의 디바이스가 아니라 클라우드 서버에 저장된 데이터입니다. 사람들이 일상적으로 이용하는 상당수의 서비스가(예: Social m..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 루팅(Rooting)에 대해 알아보겠습니다. 모두 화이팅 하세요!!! Rooting iOS에서의 ‘탈옥(jailbreaking)’과 비슷한 개념입니다. 루팅(rooting)은 디바이스의 시스템 파일에 대한 ‘root’레벨 또는 상위 사용자 권한을 획득하는 것 입니다. 기본적으로, Android는 대부분의 핵심 저장소(/data/)를 잠금 해둡니다. 따라서, SMS 데이터베이스와 같은 조사에 중요한 파일을 획득하기 위해서는 이러한 제한을 회피하거나 제거하여야 합니다. 그림참조 : https://www.nextpit.com/how-to-root-your-device-without-voiding-the-warranty root level process는 일반적으로 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Android Image Types 등에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Android Image Types 필요한 통신 절차가 이루어지고 AXIOM process에 의해 디바이스가 나타나게 되면, 획득될 수 있는 이미지 타입는 다음과 같은 2가지 형태를 갖습니다. Quick Image 디바이스에서 활성 데이터를 획득합니다. 예) SMS, 연락처(Contacts), 통화 기록(Call Logs) 정보를 획득하기 위하여 APK의 설치를 필요로 합니다. 정보를 모으기 위하여 ADB 백업 명령을 수행합니다. Full Image 디바이스의 전체 메모리 블록을 획득합니다. 다만, 디바이스에 root 레벨의 접근이 허용되어야만 합니다. 운영체제 제조사가 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 모바일 아티팩츠 분석기능에서 개발자 옵션(Developer Options)과 USB 디버깅(Debugging)에 대해 알아보겠습니다. 모두 화이팅 하세요!!! Developer Options ADB 프로토콜을 사용하기 위해서는 개발자 옵션(Developer Options)을 디바이스에 활성화 시켜야 합니다. 안드로이드 버전 4.2 이후로는 개발자 옵션이 일반 사용자들이 볼 수 없도록 숨겨져 있습니다. 숨겨진 개발자 옵션을 활성화하기 위해서는 ‘디바이스 설정’ 아래의 ‘About Device’로 들어가 ‘Build Number’가 나올 때까지 스크롤하고, Build Number를 7번 클릭하여 Developer mode has been turned on이 나타나..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 모바일 아티팩츠 분석기능 6회차 입니다. 모두 화이팅 하세요!!! Android OS 전 세계에서 가장 널리 사용되는 운영체제라고 볼 수 있습니다. 리눅스 커널을 기반으로 하며, 대부분 오픈소스 입니다. 코드 중 일부는 여전히 Android의 소유자인 Google에 의해 유지/보호되고 있습니다. 하드웨어와 소프트웨어 측면에서 Apple이 혼자 만든 iOS와는 달리, 안드로이드 디바이스는 세계각지의 다양한 제조사들이 만들었기 때문에, 저장되는 데이터와 기반 기능 등 디바이스간에 약간의 차이점이 존재하기도 합니다. 다양한 제조사, 통신사가 운영체제 업데이트의 배포에 관여하기 때문에, 몇몇 디바이스가 결코 그 운영체제의 최신 버전일 수 없고, 더 오래된 것, 보안이..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 AXIOM의 모바일 분석 기능에 대해 알아 봅니다. 모두 화이팅 하세요!!! Mobile Artifacts SQLite and Plist Files iOS에서 대부분의 아티팩츠는 다음과 같은 2가지 유형의 데이터 파일입니다. - SQLite database 파일 - Property List 파일 대부분의 데이터는 파일시스템 상의 아래 디렉토리에서 발견됩니다. /private/var/mobile 대량의 데이터를 갖고 있는 3개의 하위 디렉토리는 다음과 같습니다. - /Library/ 사용자 데이터를 갖고 있습니다. - /Media/ 카메라롤, 사진, 동영상을 확인할 수 있습니다. - /Containers/ 제3의 어플리케이션 데이터와 주요 어플리케이션 데이터를 ..