ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • (2018) 디지털 포렌식 관점에서의 인스타그램 사용자 행위 분석
      Solar Beam 2023. 8. 2. 00:09

      1. 소스

      reference :  https://www.dbpia.co.kr/journal/articleDetail?nodeId=NODE07423923

       

      디지털 포렌식 관점에서의 인스타그램 사용자 행위 분석 | DBpia

      서승희, 김역, 이창훈 | 정보보호학회논문지 | 2018.4

      www.dbpia.co.kr

       

      2. 정리

      1. 인스타그램의 백업 파일 데이터와 각종 기능(인스턴트 메세지, 사진·동영상 게시, 댓글 남기기, 좋아요 누르기, 해시태그 걸기 등)에 대해서 디지털 포렌식 분석 실시

       

      2. 실험 환경 구성 후 정적 분석(안드로이드 역공학)과 동적분석으로 연구 진행

       : (실험 환경) Samsung Galaxy s4 / Android 4.4.2 / instagram 10.27.1

       : (정적 분석) APK == Dex + library + resource 이므로, APK 파일에서 Dex 파일을 추출

        : Dex 파일은 java source를 컴파일한 byte code이므로, Dex 파일을 assembly language인 smali code 로 변환

        : smali code를 decompile하여 java code를 확보할 수 있으며, 이로써 앱의 실행 흐름과 동작을 분석 가능

        : (tools) ADB, Dex2jar, Java Decompiler GUI, Apktool 등

       : (동적 분석) 실제 앱을 설치, 실행하면서 발생하는 로그, 파일 디렉토리의 변화 등으로 앱의 코드 흐름 분석

        : (tools) Android Studio, Android Device Monitor, DDMS(Dalvik Debug Monitor Service), ADB Shell 등

       

      3. 포렌식 관점에서 유의미한 데이터베이스 파일(3개), 파일 저장 디렉토리(3개), 로그 저장 디렉토리(2개) 확인

       : (DB) 인스타그램 패키지 하위에 위치한 direct.db, cookies, Web data

        : (direct.db) 경로는 {instagram package}/databases/direct.db

         : direct message에 대한 정보를 저장하며 메세지 태용, 타임스탬프, 수·발신자, 메세지 확인 시간 등 분석 가능

         : 여러 단말기를 이용해서 같은 계정에 동시 접속 후, 각각 메세지를 보내면 recipient_ids 칼럼 값이 NULL

        : (cookies) 확장자가 없으나 db파일이며, 경로는 {instagram package}/app_webview/cookies

         : sessionid, token 정보, 유저의 아이디 정보, 사용자 고유 번호 등 분석 가능

        : (web data)  확장자가 없으나 db파일이며, 경로는 {instagram package}/app_webview/Web Data

         : 인스타그램은 마케팅을 위한 비즈니스 계정을 제공하며 비즈니스 계정에 대한 정보가 저장됨

         : 피즈니스 프로필, 이메일, 회사의 위치, 휴대폰 번호, 광고 요청 시 결제되는 신용카드 정보 등

       : (directories) 인스타그램 패키지 하위에 위치한 cache, files, images, shared_prefs 디렉토리

        : (cache, files) 인스타그램은 게시물에 반드시 사진을 포함해야 하는데, 그 사진에 대한 정보가 저장됨

         : 사용자가 사진을 앱에 로드하면 cache에 사진 파일 복사, 업로드 완료하면 files에도 복사됨

         : 업로드 완료 후 사용자가 사진을 수정할 경우 수정한 파일도 cache와 files에 저장됨

        : (images) 인스타그램의 메인 피드에 표시되는 사진 파일이 저장됨

         : 게시된 사진, 동영상 미리보기 사진 등이 저장되므로 사용자의 메인 피드 내용을 파악할 수 있음

         : 메인 피드 접속과 동시에 서버로부터 사진을 다운받기 때문에 메인 피드 접속 시간을 추정 가능

         : 파일 확장자가 .clean 으로 되어 있으나, 파일 시그니처는 JPEG으로 확인

        : (shared_prefs) 앱 설정 파일(*.xml) 저장, xml의 파일명은 [사용자 고유 번호]_[행위 및 서비스 이름].xml 형식

         : 안드로이드의 데이터 입출력 라이브러리인 Preference를 통해 생성된 xml 파일임

         : Preference는 앱 설정과 같이 사용 빈도가 높고 비교적 간단한 데이터를 xml 파일로 입출력하며 관리

         : 구체적 코드로는, SharedPreference 클래스를 선언하여 구현

          : 클래스 선언과 동시에 오픈된 xml 파일이 shared_prefs 폴더에 저장

          : 파일명은 클래스 선언 시 생성자로 입력된 문자열로 생성

         : 클래스 선언 코드가 호출되어야 xml 파일이 생성되므로, xml 파일명 분석으로 이용한 서비스 내역 추정 가능

         : xml 내부 데이터도 사용자 행위의 단서임 ex) [고유번호]_AutoCompleteHashtagService.xml 파일 분석

      저작자표시

      'Solar Beam' 카테고리의 다른 글

      (2017) iOS 로그 분석 및 포렌식 활용방안 연구  (0) 2023.08.03
      (2018) 국내 랜덤 챗 어플리케이션에서 사용자의 행위에 따른 아티팩트 분석  (0) 2023.08.02
      (2020) 모바일 메신저에서 디지털성착취물 시청행위 포렌식 방안  (0) 2023.07.29
      (2014) 트위터 사용 흔적 분석에 관한 연구  (0) 2023.07.29
      (2016) iOS에서의 타임스탬프 위 · 변조 흔적 조사에 관한 연구  (0) 2023.07.21

      관련글 관련글 더보기

    Digital Forensics

    티스토리툴바