도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 구형 안드로이드 스마트폰에 장착하는 microSD Card 안의 데이터에 대해 알아보고자 합니다. 안드로이드 microSD card 일반적인 이동식 저장매체에 대한 이미징 및 분석과 동일하게 처리합니다. 주로 FAT 파일시스템으로 이루어져 있습니다. DCIM 폴더 .thumbnails을 포함합니다. 여기서 microSD card에 저장된 사진이 확인됩니다. 실제 사진을 삭제 하더라도 thumbnails이 남아 있을 수 있고, thumbnails의 생성시각으로 촬영 시각을 추정할 수도 있습니다. Camera 폴더 내장된 카메라로 찍은 사진이 저장되어 있습니다. 파일명은 보통 사진을 찍은 일시를 표시합니다. download 폴더 보통 이메일에 첨부된 파일을 저장하..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 구형 안드로이드폰의 아티팩츠에 대해 알아 보겠습니다. Android Artifacts 안드로이드 아티팩트 iOS에서 백업한 데이터의 양에 비해 현저히 양이 적은 편입니다. Last Known Location 스마트폰 사용 시간과 장소를 특정할 수 있습니다. Accounts Google 등 사용자 계정을 특정할 수 있습니다. Settings 각종 설정사항을 확인할 수 있습니다. 메시지 SMS 메시지 Inbox, Outbox를 확인합니다. Remote number를 확인합니다. - Inbox의 Remote number : 발신번호 - Outbox의 Remote number : 수신번호 Email Gmail inbox 스마트폰 기기에서 열람한 이메일, E-mail ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 구형 안드로이드폰(SHV-E120L)에 대한 데이터 획득에 대하여 살펴보겠습니다. 상당히 Old한 기법이지만 안드로이드폰에 대한 이해를 돕는데 유용하리라 생각됩니다. 안드로이드 장치 adb.exe를 이용한 전체 백업 (1) 제조사에서 드라이버를 다운로드합니다. - 삼성 : https://www.samsungsvc.co.kr/download - LG : https://www.lge.co.kr/support/product-manuals#cur (2)SD 카드와 USIM을 제거합니다. (3) WiFi 네트워크 연결을 차단합니다. (4) 스마트폰에 들어가 USB 디버깅을 설정한 후 USB 케이블을 연결합니다. - 설정 > 개발자 옵션 > USB 디버깅을 체크합니다. ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 구형 iOS 아티팩츠 분석의 마지막 시간입니다. 향후 최신 iOS 아티팩츠에 관한 포스팅도 계획하고 있으니 많은 관심 바랍니다. HomeDomain\Library\Preferences com.apple.preferences.datetime.plist\timezone iPad의 Settings\General\Date&Time 안의 타임존 설정에 관한 정보를 포함합니다. com.apple.accountsettings.plist\Accounts iPad에서 직접 설정된 (이메일) 계정과 관련된 정보를 포함합니다. - Type String : (이메일) 계정 종류 - Username : 사용자 이름 - DisplayName : iPad에서 보여지는 사용자 이름 - E..

안녕하세요. 도깬리포렌식스 입니다. 오늘도 계속하여 iOS의 아티팩츠에 대하여 이어가겠습니다. 예제는 아이폰 4입니다. 구형 아이폰 이므로 최신 아티팩츠와는 다소 차이가 있음을 감안하시기 바랍니다. SMS, iMessage로 받은 메시지 Raw Data\HomeDomain\Library\SMS\sms.db에서 파싱을 합니다. HomeDomain\Library의 기타 artifacts Keyboard 키보드로 입력된 단어를 저장합니다. - dynamic-text.dat : 영문 입력 - ko-kO-dynamic-text.dat : 한글 입력 - UserDictionary.sqlite - UserDictionaryWordKeyPairs.plist WebKit\Database\https_mail.google...

안녕하세요. 도깬리 포렌식스 입니다. 일요일 아침이네요. 오늘도 아이폰의 아티팩츠를 살펴 봅니다. 구형 아이폰(아이폰4)를 기준으로 한 것임을 참고하시기 바랍니다. Organizer 오그나이저 Calendar와 Note 데이터베이스에서 정보를 수집하여 여기에 저장하여 둔 것입니다. Raw Data\HomeDomain\Library\Calendar Raw Data\HomeDomain\Library\Notes Organizer의 Events와 Notes는 각각 Calendar와 Notes 데이터베이스의 내용을 파싱하여 보여주는 것입니다. Calendar 제목 뿐만 아니라, 아래와 같이 Google calendar 라는 것도 인식할 수 있다. Calendar와 관련하여 주의해야 할 점은 타임존 설정에 관한 문..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 아이폰 아티팩츠에 대한 소개를 이어갑니다. 다양한 아티팩츠를 통해 증거분석의 착안사항을 확인합시다. Thumbnails 폴더 장치에 저장된 사진에 대한 Thumbnail을 포함하고, 폴더의 이름은 썸네일의 크기를 의미하며, ithmb 확장자를 갖습니다. DCIM 폴더 Photos.sqlite 데이터베이스와 EXIF에 임베디드된 정보를 사용하면 DCIM 폴더의 실제 사진을 특정할 수 있습니다. ‘EXIF GPS Information Reader EnScript’를 사용하면 사진 파일로부터, 위도(Latitude), 경도(Longitude)를 쉽게 추출할 수 있습니다. AppDomain iOS 장치에 설치한 App은 AppDomain에서 확인 가능합니다. 사건과 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 iOS의 아티팩츠(Artifacts)에 대해 알아 보겠습니다. 자. 시작할까요? iOS Artifacts Raw Data 장치에서 이미징된 대부분의 데이터를 포함합니다. SQLite DB와 속성 목록을 보여줍니다. 주요 데이터 영역 도메인 경로 목적 Home Library\AddressBook 연락처 정보 Home Library\Calendar 달력 Home Library\SpringBoard 사용자 인터페이스 Home Library\Safari Safari 웹브라우징 흔적 Media Media\PhotoData GPS 등 사진 메타데이터 Media Media\DCIM 사진 SystemPreferences SystemConfiguration\com.apple...

안녕하세요. 도깬리포렌식스 입니다. 오늘부터는 EnCase로 스마트폰을 분석하는 얘기를 해 볼 겁니다. 사실 컴퓨터 포렌식 도구인 EnCase로 스마트폰을 분석하는 일은 거의 없을 겁니다. 그런데 최근에는 모바일 분석에서도 컴퓨터 포렌식 도구의 강력한 복구기능이나 검색기능, 필터링 기능을 활용하는 예가 늘어나고 있습니다. EnCase는 7버전부터 스마트폰을 지원하였는데, 지금 부터의 내용은 매우 오래된 구형 스마트폰에만 적용되는 것 입니다.(iPhone4를 시험폰으로 사용했습니다.) 따라서 실무에 활용하기 보다는 학습목적으로만 이해하시면 될 듯 합니다. 그럼 시작해볼까요? 스마트폰 이미징시 주의사항 Android의 경우에는 물리적인 이미징이 가능하나, iPhone 등의 경우에는 논리적인 이미징만 가능합니..

안녕하세요. 도깬리포렌식스입니다. 오늘은 컨디션을 이용한 다중 선별에 대해서 알아 봅시다. EnCase의 Conditions 기능은 다양한 속성값을 참조하여 분석관이 원하는 결과를 잡아내는데 매우 유용한 기능입니다. 사례별로 최적화된 여러 가지 템플릿을 만들어 두면 편리하겠죠... 프로세스 메모리의 한계와 새로운 대안 EnCase 구버전의 경우 파일시스템 메타데이터, 각종 검색 및 처리 결과, 레지스트리 등 복합파일 등의 대용량 데이터를 RAM에 저장하였습니다. 그런 결과, ‘무응답’ 시간이 길어지거나, 다운되는 현상이 자주 발생하였습니다. 따라서 대안으로써 디스크에 저장하는 방법을 고안하게 된 겁니다. 참고로 FTK의 경우에는 데이터베이스에 저장하는 형태입니다. 컨디션 사용시 주의 사항 전체 케이스 내..