(2016) 모바일 포렌식 동향

1. 소스

reference : https://www.dbpia.co.kr/Journal/articleDetail?nodeId=NODE07047409 

모바일 포렌식 동향 | DBpia

 

2. 정리

1. 모바일포렌식은 스마트폰, 태블릿PC, 웨어러블기기 등에 대한 디지털 포렌식을 수행하는 것이다.

 

2. 대표적으로 NIST의 문서에서 preservation, acquisition, examination and analysis, reporting로 나누어 규정

 

3. 모바일 기기 수집 대상은 flash memory, ram, micro SD, usim이 있다. 
 : (flash memory) Chip-off, JTAG 방식이 있으며 android와 ios 계열 별로는,
  : (android) 펌웨어 업데이트 프로토콜, 루팅 커널, android 백업 프로토콜, android 데이터 공유 프로토콜
   : (펌웨어 업데이트 프로토콜) firmware update mode 부팅 + AP의 플래시 메모리에 대한 읽기, 쓰기 명령어
   : (루팅 커널) 펌웨어 내부의 커널이미지를 관리자 권한을 갖도록 수정, 커널 영역에 덮어씌워 부팅 + 명령어
   : (백업 프로토콜) ADB에서 지원하는 데이터 백업 기능을 이용
   : (데이터 공유 프로토콜) Content Provider를 이용, 데이터 수집을 위한 앱을 설치 후 수집
  : (ios) 탈옥된 기기를 이미징할 때 결과물에 대하여 복호화 이슈가 발생할 수 있음

   : (탈옥) jailbreak -> jackpot
   : (backup protocol) itune에서 사용하는 Mobile Backup 2 프로토콜이 있고, Media 데이터를 백업하는 AFC, 시스템로그와 설정 정보를 백업하는 File Relay, 설치된 애플리케이션 목록을 백업하는 Installation Proxy, 앱 설치 파일을 백업하는 House Arrest가 있다. 
 : (나머지) RAM은 국내에서 수행하고 있지 않고, 유심이나 SD카드는 발견되면 내부 데이터를 수집하면 된다.

 

4. 수집한 데이터는 크게 시스템 데이터, 사용자 데이터로 구분할 수 있다.
 : (시스템 데이터, 안드로이드) 커널 정보, 리커버리로그, 전원 관련 로그, 에러 로그, 블루투스 로그 등
 : (시스템 데이터, ios) 시스템 플러그인 및 설정 정보, 시스템 환경설정 및 라이브러리 디렉토리 등

 : (사용자 데이터) 우리가 상상할 수 있는 사용자 데이터를 생각하면 된다.

 

5. 앞으로 임베디드 기기 특성 및 취약점을 이용, 하드웨어와 소프트웨어 역공학 기술을 사용해서 데이터를 수집하는 연구가 필요하고, 또한 암호화 알고리즘 분석을 위해 역공학 기술과 모바일 기기 동적 디버깅 등 연구가 필요하다.