Mobile Forensic

jailbreak를 이용한 디스크 이미징

• IOS 4.0 이후로 파일암호화로 분석의 어려움 존재
• Agent의 Content Provider 호출을 이용한 논리적 수집

암호화강도가 심해져서 힘듬.

IOS 포렌식

• 아이폰 데이터 수집 및 분석

비밀번호를 자꾸틀리면 로그인을 못함(시간으로 제어)

dictionary attack 이 자주 쓰이고 있음 (가능성이 높은거 위주)

$ 아이폰의 백업 데이터로부터 분석하는 법

• 시스템이 가진 기본 artifact - 전화번호부, 메시지, 통화기록
• 응용프로그램 기록 -문서작업, 웹, 이메일, 자동 로그인 정보

아이폰 데이터 수집

• jailbreaking을 이용한 데이터 수집
• IOS4.0 이후로 파일 데이터가 암호화 되어 있어 rawimaging으로는 데이터 복원 불가
• iTunes 백업 기능을 이용한 데이터 수집 (백업파일은 암호화x)

아이폰 데이터 분석

• 중요 데이터의 위치
• 중요 데이터 포맷(sqlite,plist(xml))
• pc에 백업된 데이터 분석

백업 데이터 -고유의 기기번호(UDID)로 저장

• mdinfo(메타데이터), mddata(파일컨텐츠)로 나뉨

사진 추출 -파일의 hex view를 통해 signature 분별 후 추출

backup된 데이터를 iphone backup extractor란 앱에 넣으면 파일을 추출해줌

안드로이드 포렌식

기본앱에 저장된 데이터

• 연락처,통화목록,문자,캘린더,이메일.웹히스토리,GPS,문서파일,사진,비디오,오디오

서드 파티 app에 저장된 데이터

• facebook.kakao.twitter 등 : GPS,게시글,시간

시스템 기록

• 실행중인 프로세스 정보
• 네트워크 연결 정보

데이터 수집 방법

• 물리적 획득 방법 → chip off(하드를 뺌) , jtag를 이용한 방식
• 논리적 획득 방법 → contents provider을 사용, 취약점사요으 부트로더 변경방식, 커널체인지 방식 , 커스텀 리커버리 사용,펌웨어 업데이트 프로토콜

chip-off 방식

• 스마트폰의 플래시 메모리를 직접 물리적으로 추출하고 메모리 리더기를 통해 데이터를 획득하는 방식
• 난이도, 복잡성이 매우 높음
• 획득 중 물리적 손상으로 데이터의 영구 손실 가능성

jtag를 이용한 방식

• PCB(printed circuit board)의 JTAG 포트에 에뮬레이터를 연결하여 플래시 메모리의 모든 데이터를 이미징하는 방식
• 속도가 느리고 제조사에서 JTAG핀맵 등을 알기 어렵게하거나 마아놓아서 사용이 힘든 경우가 대부분
• 요즘은 잘 안씀

Sandbox (데이터 수집 방법)

• android OS는 보안을 위해 Sandbox 개념 사용
• 각 응용프로그램의 영역을 Sandbox개념을 통해 보호
• 응용프로그램들은 서로의 Sandbox영역에 침범할 수 없음

Contents Provider

• ANDROID OS의 데이터 공유 모듈
• 서로 다른 app들의 데이터를 중앙데이터 공간에 저장하여 서로 사용할 수 있도록 함

커널 체인지 방식

• 데이터 획득을 하기위해 커스텀 롬으로 변경하여 데이터를 획득하는 방식
• 다운로드 모드에서 수행됨

루팅을 하게되면 KNOX WARRANTY VOID가 영구적으로 1로 되어 KNOX기능(삼성페이 등) 사용불가

커스텀 리커버리를 사용항 방식

• 스마트폰의 순정 리커버리를 커스텀 리커버리로 변경

업데이트 프로토콜 이용 방식

• 리버싱 방법을 허용
• 삼성 스마트폰의 경우 읽는 명령어코드를 삭제하여 배포하여 어려움