도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 AXIOM의 모바일 분석 기능에 대해 알아 봅니다. 모두 화이팅 하세요!!! Mobile Artifacts SQLite and Plist Files iOS에서 대부분의 아티팩츠는 다음과 같은 2가지 유형의 데이터 파일입니다. - SQLite database 파일 - Property List 파일 대부분의 데이터는 파일시스템 상의 아래 디렉토리에서 발견됩니다. /private/var/mobile 대량의 데이터를 갖고 있는 3개의 하위 디렉토리는 다음과 같습니다. - /Library/ 사용자 데이터를 갖고 있습니다. - /Media/ 카메라롤, 사진, 동영상을 확인할 수 있습니다. - /Containers/ 제3의 어플리케이션 데이터와 주요 어플리케이션 데이터를 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM으로 분석하는 모바일 아티팩츠 분석기능 4번째 시간입니다. 모두 화이팅하세요!!! iOS Full Images And JailBreaking AXIOM을 이용하여 Full Image를 얻고 싶다면, 해당 디바이스는 ‘탈옥(jailbroken)’되어 있어야 하고, 특별한 수정(tweak)이 전제되어야 합니다. 이렇게 수정한 것, 비인가된 패키지를 AFC2, 즉 Apple File Conduit 2라고 부릅니다. 이것은 Cydia application repository의 설립자가 제작하고 관리합니다. 이것은 디바이스의 raw filesystem과 연결하여 통신을 가능하게 합니다. 이런 방식으로 AFC2는 AXIOM이 디바이스에서 논리적 파일을 획득할 수..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 모바일 아티팩츠에 대한 분석기능 세번째 시간 입니다. 모두 화이팅 하세요!!! Loading Forensic Images/Data into AXIOM AXIOM Process는 iTunes 백업에 대한 분석을 지원하나, 암호화된 백업에 대해서는 자동화된 분석을 지원하지 않습니다. iTunes 백업의 저장 위치는 다음과 같습니다. \Users\\AppData\Roaming\Apple Computer\MobileSync\Backup\ \Backup\폴더 아래 zip을 압축하고, 압축한 파일을 AXIOM에 추가하여 분석 진행 합니다. Imaging in AXIOM AXIOM Process는 과거에 생성하였던 iTunes 백업을 로딩하는 것 뿐만 아니라, 바로 이미징..

안녕하세요. 도깬리 포렌식스 입니다. 날씨가 화창하네요. 오늘은 AXIOM으로 iTunes Backup 데이터에 대한 분석기능을 알아 보겠습니다. 모두 화이팅 하세요!!! iTunes Backup iOS 디바이스는 PC에 백업 데이터를 남길 수 있습니다. iTunes 백업이라고 불리며, 어느 특정 시점의 iOS 디바이스의 사본으로 간주할 수 있습니다. 포렌식 조사자가 iOS 디바이스에서 확보한 자료는 모두 백업되었다면 그 백업 데이터에서도 동일하게 확인할 수 있습니다. iOS 디바이스의 경우, 과거에 저장한 백업을 PC에서 찾는 것이 매우 중요합니다. iTunes로 생성한 iOS 백업의 저장 위치 \Users\\AppData\Roaming\Apple Computer\MobileSync\Backup\ 백업..

안녕하세요. 도깬리 포렌식스 입니다. AXIOM의 모바일 아티팩츠에 대한 분석기능에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Smartphone Operating System AXIOM은 다음과 같이 다양한 스마트폰 플랫폼을 지원합니다(이미지를 만들 수도 있고, 이미지를 읽어 와서 분석할 수도 있습니다.) - iOS - Android - Windows Phone Series - Kindle Fire phone iOS 2007년에 최초 출시하였습니다. 그 당시 OSX의 파생물에 불과했으나, 그 이후 iPhone OS로 불리다가 2010년 iPhone 4가 나오면서부터 iOS로 불리게 되었습니다. iPhone OS로 불렸음에도 1세대 iPad와 iPod Touch 디바이스에도 설치되었습니다. iOS는..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 AXIOM에서의 윈도우 이벤트 로그 분석기능에 대해 알아 봅니다. 모두 화이팅 하세요!!! Windows Event Logs 이벤트를 로깅하는 기능은 1990년대 초반 이래로 활용되고 있습니다. 초창기 이벤트 로그는 오늘날의 로그와 같은 세밀한 면은 부족하였으나, 윈도우 운영체제가 기록하는 중요 어플리케이션과 시스템의 활동을 열람하기 위한 표준화된 포맷과 중앙집중화된 위치를 제공하였습니다. 일반적으로, 이벤트의 유형은 다음과 같은 것을 포함합니다. - 경고, 에러, 성공, 실패 윈도우 운영체제의 최근 버전은 이벤트 로그 파일에 포함된 세밀함의 정도를 확장시켰습니다. 그럼에도 불구하고 Windows Event Log Application Programming I..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 ShellBags와 Prefetch에 대해 알아 봅니다. 모두 화이팅 하세요!!! ShellBags ShellBags는 윈도우 XP 시절부터 존재하였으나, 최근에 와서야 포렌식 조사자들이 그것의 잠재적인 가치를 인식하게 된 아티팩츠입니다. 이것은 윈도우 사용자가 네트워크 폴더와 이동식 디바이스 등을 대상으로 윈도우 탐색기로 열람하였을 때 폴더의 크기, 위치, 컨텐츠 뷰에 대한 사용자의 설정을 저장한 것 입니다. 예를 들어, 어떤 사용자가 USB 디바이스에서 사진이 저장된 어떤 폴더에 접근하였다면, 윈도우 탐색기의 기본적인 뷰는 디폴트 뷰 입니다. 그러나 사용자는 매번 그 폴더를 열 때마다 그 이후 썸네일 뷰가 될 수 있도록 디폴트 뷰를 썸네일 뷰로 바꾸려고 합..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Jump Lists에 대해 알아 봅니다. 모두 화이팅 하세요!!! Jump Lists 윈도우 7에서 소개되었고, 윈도우 10에서도 필수 구성요소이며, 조사자에게 사용자의 활동 정보를 제공합니다. LNK 파일 카테고리와 마찬가지로, Jump List도 다음의 위치에서 파싱됩니다. \Users\\AppData\Roaming\Microsoft\Windows\Recent\ 2개의 서브 폴더가 존재합니다. AutomaticDestinations 운영체제와 윈도우의 디폴트 어플리케이션이 생성한 엔트리를 포함합니다. CustomDestinations 사용자가 생성한 엔트리를 포함합니다. Jump List에는 다음과 같이 사용자가 접근한 자원에 대한 정보가 남습니다. - 자..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Link Files와 Recent Docs에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! LNK Files Link 파일 아티팩츠는 운영체제 내의 다음과 같은 다양한 위치에서 파싱됩니다. - $MFT - pagefile.sys - Program Files - Program Data - Program Files(x86) - User’s Recent folder - Unallocated space 링크 파일은 비교적 단순하지만 포렌식 조사자에게는 매우 중요한 아티팩츠입니다. 사용자의 시스템, 이동식 저장매체에서 발견되는 어플리케이션, 폴더, 파일을 연결하는 일종의 바로가기 파일이며, *.lnk 라는 확장자를 갖습니다. 링크 파일은 사용자가 임의로 만들 수도 있..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 Mounted Devices, Mountpoints2, UserAssist에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Mounted Devices 드라이브 문자와 디바이스 일치시킬 때 참조하는 아티팩츠입니다. System 레지스트리 파일 아래 MountedDevices 에서 발견된 데이터는 (만약 할당되었다면) 그 디바이스에 드라이브 문자가 일치하는 지, 또는 (만약 과거에 윈도우 운영체제에 의해 마운트 되었다면) volume GUID를 그 디바이스와 일치하는 지 확인할 때 참조할 수 있습니다. 사용자와 디바이스 맵핑하기 윈도우 사용자와 USB 디바이스를 연결할 수 있습니다. 즉 USB 디바이스를 누가 연결한 것인지 확인할 수 있습니다. Mounted ..