[모바일 포렌식] <1장>
<1장> 모바일 포렌식 주요가치, 한계점, 접근법 ...
모바일 포렌식 : 모바일 폰으로부터 디지털 증거를 복구하는 과학
*타당함
타당한 포렌식 조사의 주요 원칙 : 증거가 조작되어서는 안 된다.
->포렌식 조사를 하면 지켜지기 어렵다. ex)칩제거,부트로터 설치 후 조사
->과정을 문서화 or 가이드라인
모바일 포렌식 과정 : 압수 -> 수집 -> 조사/분석
1) 증거수집 : 찾고자 하는 정보 종류 개요 설명, 목표 설정
2) 식별 : 법적 권한, 조사 목표, 장치 제조사,모델,식별 정보,
이동식,외부 데이터 저장소(SD 메모리 카드 등은 따로 처리),
잠재적 증거의 근원(지문 등 증거 오염 훼손 주의)
3) 준비 : 조사 방법이나 도구 연구
4) 격리 : 네트워크 격리 -> 비행기 모드 설정 후 패러데이 백 사용 -> 원격 접속, 원격 삭제 명령 등 차단
5) 처리 : a)물리적 수집 -> 장치 전원이 꺼진 상태에서 미가공 메모리 데이터 추출(최소한의 변화)
b)논리적 수집 -> 분석된 데이터, 미가공 메모리 이미지 힌트
6) 검증 : 데이터 정확도 검증 a) 추출한 데이터를 장치 내 데이터와 비교
b) 여러 도구의 사용과 결과 비교
c) 해시 값(데이터의 고유값) 사용 -> 무결성 검증
7) 문서화와 보고 : 조사 시작과 완료시간, 폰의 물리적 조건,개별 구성요소의 사진,
받았을 때 상태(전원 등...),제조사와 모델, 수집/조사에 사용된 도구,
조사 과정 발견된 데이터, 상호 평가 노트...
8) 제시 : 조사 결과 문서화 후 법정에 제시
조사 결과는 명확, 간결, 반복 가능하게
9) 기록 보관 : 추출한 데이터 보존 -> 분야와 방법이 진화할수록 사본 추출 후 다시 검사 가능
모바일 OS : 안드로이드(리눅스 기반), iOS(Unix와 비슷), 윈도우폰, 블랙베리OS
| 마이크로 칩 읽기 |
| 칩 오프 |
| 헥스 덤프 |
| 논리적 분석 |
| 수동 추출 |
모바일 폰 포렌식 도구의 레벨 순위 ( 위로 갈수록 복잡, 타당, 위험(증거 훼손), 긴 분석시간)
-수동 추출
키패드, 터치 스크린 등 단순 스크롤이나 데이터 읽기 포함
정보는 사진으로 문서화
삭제된 정보 복구, 모든 데이터 수집 X
-논리적 추출
포렌식 하드웨어, 케이블, 블루투스 등 연결 -> 프로세서가 해석
과정 중 데이터가 쓰여져 무결성 영향
삭제된 데이터 접근 X
-헥스 덤프(물리적 추출)
서명되지 않은 코드나 부트로더를 폰에 넣러 메모리 덤프를 전송
-> 미가공 이미지 바이너리 형태로 추출
삭제된 파일 복구 O
-칩 오프
메모리 칩에서 데이터 직접 수집(ex: 땝납 제거, 메모리 칩에 열 가함...)
-> 메모리칩 손상, 데이터 손실 주의
-마이크로 칩 읽기
전자 현미경 사용
국가적 보안 사고에 준하는 큰 사건에서 아래 기법들이 모두 사용된 후에 시도
데이터 수집 방법
-물리적 수집 : 플래시 메모리에 직접 접근
-> 전체 파일 시스템의 비트 단위 사본 생성
모든 데이터 수집 O, 할당되지 않은 공간 접근 O
-논리적 수집 : 프로그래밍 인터페이스 사용
모바일에 존재하는 파일만 복구,
할당되지 않은 공간의 데이터 복구 X
-수동 수집 : 증거 삭제 가능성 (실수로)
모바일로 나타나는 데이터만 수집
증거법칙
1) 증거의 인정 여부 : 증거의 유효성과 중요도의 척도
2) 증거의 진위 여부
3) 증거의 완전성 : 완전하지 않은 증거 -> 다른 판결 -> 차라리 증거 제시 안 하는 게...
4) 증거의 신뢰성
5) 믿을 만한 증거
4랑 5가 뭐가 다른 거임
올바른 포렌식 관례 : 증거 보호(네트워크 격리), 증거 보존(해시값), 증거의 문서화( 작접이 반복될 수 있게), 변경사항 문서화
공부한 책 : 모바일 포렌식 ( iOS, 안드로이드, 윈도우폰, 블랙베리 플랫폼 포렌식을 위한 )