2 주차 모바일 포렌식 1장

모바일 포렌식 : 모바일 포렌식은 디지털 포렌식의 한 분야로서,모바일 장치로부터 디지털 증거를 복구하는 것과 관계가 있다.

모바일 포렌식의 어려움

• 하드웨어의 차이
• 모바일 운영체제
• 모바일 플랫폼 보안 기능
• 부족한 자원
• 장치의 일반적인 상태
• 안티 포렌식 기법
• 증거의 동적인 속성
• 예기치 않은 초기화
• 장치변경
• 비밀번호복구
• 통신 차폐
• 사용 가능한 도구의 부족
• 악성 프로그램
• 법적 문제

모바일 폰 증거 추출 과정

수집 > 식별 > 준비 > 격리 > 처리 > 검증 > 문서화/보고 > 제시 > 기록 보관

• 수집단계 : 소유권 정보와 모바일 장치가 어떤 사고에 관련되어 있는지를 문서 화하기 위한 요청문서 와 서류 작업을 수반하며 요청자가 찾고자 하는 자료나 정보 종류의 개요를 설명함.
• 식별단계 : 법적 권한, 조사의 목표, 장치의 제조사, 모델, 식별정보, 이동식/외부 데이터 저장소, 잠재적 증거의 근원의 세부사항 조사
• 준비단계 : 조사 대상이 되는 특정 폰과 자료수집 및 조사에 사용될 적절한 방법과 도구들이 연구된다.
• 격리단계 : 수집과 조사 단계 이전에 장치를 통신 매체로부터 격리시키는 단계. 과거엔 패러데이 백을 사용했으나 현재는 네트워크 격리가권장됌.
• 처리단계 : 폰이 반복할 수 있고 포렌식적으로 타당한 검증된 방법으로 수집ㅎ,ㄹ 수 있게하는 단계
• 검증단계 : 폰에서 추출한 데이터가 수정되지 않았음 보장하기 위해 데이터의 정확도를 검증하는 단계.
• 문서화/보고단계 : 조사과정 전체를 문서화 하는 단계. 조사 시작과 완료시간, 폰의 물리적 조건, 폰과 개별 구성요소의 사진, 폰을 받았을때의 상태, 폰 제조사와 모델, 수집과 조사에 사용된 도구, 조사 과정 발견된 데이터, 상호 평가 노트 가 포함 될 수 있다.
• 제시단계 : 조사 결과를 명확하고 간결하며 반복 가능한 상태로 문서화하여 법정에 제시하는 단계.
• 기록보관단계 : 진행 중인 판결 과정과 추후 참고, 현재의 증거가 손상되었을 때 ,기록 유지 요구사항을 위해 데이터를 사용 가능한 형태로 유지하기 위해서 보관해야함.

실제적인 모바일 포렌식 접근법

• 모바일 운영체제 개요
• 안드로이드
• ios
• 윈도우 폰
• 블랙베리 OS
• 모바일 포렌식 도구 래벨링 시스템
• 수동 추출 : 장치의 키 패드나 터치 스크린을 사용해 장치에 있는 데이터를 단순히 스크롤하거나 데이터를 보는 것. 인터페이스에 익숙하지 않아 어떤 데이터를 빠뜨리는 등의 실수를 범하기 쉽다.
• 논리적 추출 : 모바일 장치를 포렌식 하드웨어나 포렌식 워크스테이션에 USB 케이블, RJ-45 케이블, 적외선 또는 블루투스로 연결하는 것
• 헥스 덤프 : 장치를 포렌식 워크스테이션에 연결해서 서명되지 않은 코드나 부트로더를 폰에 넣어 폰의 메모리 덤프를 컴퓨터에 전송하는 과정.
• 칩 오프 : 메모리 칩에서 직접 데이터를 수집하는 것.
• 마이크로 칩 읽기 : 메모리 칩 상의 데이터를 수동으로 보고 해석하는 과정. 시간과 비용이 많이 들며 플래시 메모리와 파일 시스템에 대한 광범위한 지식과 연습이 필요.
• 데이터 수집 방법
• 물리적 수집 : 물리적 추출에서는 플래시 메모리에 직접 접근하여 장치로부터 정보를 획득한다. 이 과정에서 컴퓨터 포렌식 조사와 비슷하게 전체 파일 시스템의 비트 단위 사본을 생성한다.
• 논리적 수집 : 폰 내부 자료를 컴퓨터와 동기화하기 위해 장치 제조사의 애플리케이션 프로그래밍 인터페이스를 사용해 수행된다. 많은 포렌식 도구는 논리적 수집을 수행한다.
• 수동 수집 : 수동 수집이 진행되는 동안 조사관은 폰의 메모리에 있는 내용을 조사하기 위해 사용자 인터페이스를 사용한다. 일반적으로 키패드나 터치 스크린과 메뉴 탐색을 통해 장치를 사용하며 조사관은 각 화면의 내용을 사진으로 기록한다.

모바일 폰에 저장된 잠재적 증거

• 주소록
• 통화 기록
• SMS
• MMS
• E-mail
• 웹 브라우저 방문 기록
• 사진
• 비디오
• 음악
• 문서
• 캘린더
• 네트워크 통신
• 지도
• 소셜 네트워킹 데이터
• 삭제된 데이터

증거법칙
디지털 포렌식에 적용되고 증거가 유용해지기 위해 따라야 할 다섯 가지 일
반적 인 규칙

• 증거의 인정 여부 : 법정이나 다른 곳에서 사용될 수 있는 방법으로 증거를 수집하고 보존해야 한다.
• 증거의 진위 여부 : 증거는 반드시 사건과 연관되어 어떤 것을 증명할 수 있어야 한다.
• 증거의 완전성 : 증거가 제시될 때, 증거는 명확하고 완전한 상태여야 하며 사건의 전체 내용을 반영해야 한다.
• 증거의 신뢰성 : 장치에서 수집된 증거는 신뢰할 수 있어야 한다.
• 믿을 만한 증거 : 포렌식 조사관은 사용한 과정과 증거의 무결성을 보존하기 위한 방법을 명확하고 간결하게 설명 가능해야 한다.

올바른 포렌식 관례

• 증거보호 : 증거를 보호하기 위해서는 올바른 기구와 기법을 사용해 모든 네트워크로부터 폰을 격리해야 한다. 이를 통해 자료 삭제를 야기할 수 있는 데이터 수신을 방지한다.
• 증거보존 : 증거가 수집되면 법정에서 인정될 있는 상태로 보존되어야 한다. 증거의 원본에 작업을 하는 것은 증거에 변화를 줄 수 있다.
• 증거의 문서화 : 증거를 수집하고 추출하는 데 사용된 모든 방법과 도구에 대해 문서화해야 한다.
• 모든 변경사항에 대한 문서화 : 수집과 조사 과정에서 일어난 모든 변경사항을 포함한 전체 복구 과정을 문서화하는 것이 중요하다.