일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- 포렌식
- html
- Multimedia
- slack space
- ZIP 파일구조
- 정보처리기사 필기 합격
- Multimeida
- 네트워크 보안
- network
- Window process
- 윈도우 프로세스
- 네트워크관리사2급
- 슬퍼유
- 생활코딩
- N0Named
- 디지털포렌식
- ftz
- 생활코딩 html
- memory
- disk
- 디지털포렌식 with CTF
- 실기
- 24시간의 전사
- blkls
- vinetto
- pythonchallenge
- 윈도우 프로세스 종류
- 는 하지마...
- 2022시작
- CTF-D
Archives
- Today
- Total
ssoL2 TISTORY
[이제 시작이야! 디지털 포렌식] Chapter 10 휴대기기 포렌식 본문
휴대폰과 더불어 휴대기기들은 완벽한 증거가 될 수 있다.
1. 셀룰러 네트워크
- 셀룰러 네트워크는 여러 개의 셀(cell)로 구성
- 각 셀은 사전에 정해진 주파수 범위를 사용하여 특정 지역에 서비스 제공
- 셀 사이트(cell site) : 각 셀이 네트워크에 연결될 수 있도록 하는 기지국
- 각 셀 타워는 측면마다 3개의 패널이 있고 가운데 패널은 송신기, 나머지 2개는 수신기로 사용해 라디오 신호 탐지
- 셀 사이트는 여러 셀의 교차로에 위치
- 셀룰러 네트워크의 구성요소
- 기지국 : 안테나와 관련 장비로 구성
- 기지국 제어기(Base Station Controller, BSC) : 기지국 사이의 신호 조절 -> 휴대폰의 위치가 이동될 때 핵심
- 기지국 교환센터(Mobile Switching Center, MSC) : 네트워크 안에서의 통화 처리 및 메세지 처리 -> 핵심 증거 존재
- 방문자 위치 등록기(Visitor Location Register, VLR) : 기지국 교환센터에 연결되어 있는 데이터베이스
- 인터네트워크 기능 : 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할
- 홈 위치 등록기(Home Location Register, HLR) : 가입자의 정보 수집 및 인증센터(Authentication Center, AuC) 지원
- 단문 메세지 서비스 센터(Short Message Service Center, SMSC) : 문자 메세지 또는 SMS 메세지 수집
- 핸드오프(handoff) : 네트워크 연결이 하나의 셀 타워에서 다른 셀 타워로 이전(신호의 강도 약해지면 발생)
- GSM(세계 무선 통신 시스템)은 한 번에 하나의 타워에 접속하는 하드 핸드오프 방식
- CDMA(코드 분할 다중 접속)은 여러 개의 타워에 동시 접속 가능하며 가장 신호 강한 타워 이용하는 소프트 핸드오프 방식
- 특정 핸드폰이 특정 타워에 언제 연결되어있는지에 대한 기록은 중요한 단서!!!!!!!
- 통화가 셀 타워에 도착하면 기지국 교환센터로 이동
- 네트워크 외부로 연결하려면 공중 전화망(Public Switched Telephone Network, PSTN)으로 넘김
- 난청 지역으로 신호가 안잡힐 수도 있다.
- 단문 메시지 서비스(Short Message Service, SMS)와 멀티미디어 메시지 서비스(Mulimedia Messaging Service, MMS)
- 셀룰러 네트워크의 종류
- 셀룰러 네트워크는 데이터 전송 방식에 따라 분류
- 1. 코드 분할 다중 접속(CDMA) : 주파수 기술을 이용하여 데이터 전송
- -> 하나의 채널에 여러 핸드폭이 각각 디지털 코드 표시
- -> 한국에서 SKT, KT, LG U+ 등
- -> CDMA 휴대폰은 SIM 카드 사용 하지 않으며, 장치일련번호로 휴대폰 식별
- 2. 세계 무선 통신 시스템(GSM) : 시분할 다중접속 기술 사용
- -> SIM 카드 사용
- -> 국제 이동 단말기 번호(International Mobile Equipment Identity, IMEI) 사용하여 휴대폰 식별
- 3. 통합 디지털 확장 네트워크(IDEN) : 양방향 라디오 같은 기능 제공
- -> SIM 카드 사용
- 선불 휴대폰
- 미국에서는 대형마느테어 식료품 구매하는 것처럼 구매 가능
- 선불 휴대폰은 완전히 현금 거래이므로 흔적 추적이 어렵다.
2. 운영체제
- 모든 포렌식 조사에서 휴대폰의 운영체제는 커다란 영향을 미친다.
- 심비안 OS : 노키아와 소니에릭슨의 휴대폰에서 사용
- 블랙베리 : 다양한 종류의 응용프로그램을 지원하고 멀티태스킹도 지원하며 통신업체마다 버전이 다름
- 안드로이드 : 오픈소스 운영체제로 구글에서 인수했고, 수천 개의 응용프로그램이 있음
- 애플의 iOS : Mac OS X 기반이며 애플 앱 스토어에서 수많은 앱 활용
- 윈도우 모바일 : 마이크로소프트가 휴대기기 시장에 내놓은 운영체제
3. 휴대폰 증거
- 개인 식별 번호(Personal Identification Number, PIN) : 휴대폰 보안 강화하는 데 사용
- PIN 연속 세 번 틀리면 잠금 상태 -> 개인 해제 키(Personal Unlock Key, PUK) 필요
- 단어예측(predictive test) 기능은 데이터베이스 사전을 기반으로 함
- 단어, 약어, 속어 등 사용자가 입력하는 것이 데이터베이스에 동화됨
- 통화내역기록
- 통화내역기록(Call Detail Records, CDR)은 통신업체가 문제 해결하고 네트워크 성능 개선을 위해 사용
- 통화내역기록에는 통화 시작 및 종료 시간, 수신자 발신자, 통화 시작 타워와 종료 타워 등의 정보 포함
- 그러나 누가 실제로 통화했는지 알 수 없으니 가입자 정보와 통화내역기록의 차이를 이해해야한다.
- 모든 데이터에 동일한 보존 기간을 적용하지 않음
- 보통 통신업체는 요금청구와 기타 목적을 위해 많은 기록 유지
- 삼각 측량(triangulation)은 세 개의 서로 다른 타워로부터 휴대폰과의 거리 측정하여 대략적인 위치 파악
- 방향 안테나는 신호의 지연 시간을 바탕으로 거리 측정하며 두 개의 타워만을 사용
- GPS를 통해서 위도와 경도를 파악 가능
- 휴대폰 증거 수집 및 처리
- 네트워크로부터 휴대폰을 고립하자.
- 포렌식 조사를 하기 전에 어떤 모델인지 먼저 확인하는 것이 중요함
- 복사본으로 조사 혹은 직접 조사 들어감
- 음성 메세지, SIM 카드, 관련 전원 케이블 등 중요 단서
- SIM 카드
- SIM(Subscriber Identity Modules) 유용한 정보 두 가지 저장
- 1. 국제 이동가입자 식별자(International Mobile Subscriber Identity, IMSI) : 가입자 계정 정보와 서비스 식별
- 2. 통합 회로 카드 식별자(Integrated Circuit Card Identifier, ICC-ID) : SIM 카드 자체의 시리얼 정보
- 이외에도 서비스 제공업체, 언어 설정, 전원 꺼진 위치, 휴대폰번호 SMS 문자 메세지(없을 수 있음)
- SIM 카드는 CPU, RAM, 플래시 기반의 비휘발성 메모리, 암호화 칩 등 여러 개의 구성요소로 구성
- 휴대폰 수집: 물리적 및 논리적
- 물리적 방법은 클로닝 하는 것처럼 비트 하나 틀리지 않고 모두 복사
- 논리적 방법은 삭제된 데이터를 가져오지는 못하고 파일과 폴더만 캡쳐
- 하드 드라이브 수집과정과 다른 점은 쓰기 차단 기기가 사용되지 않는다는 점(데이터 교류 존재해야 하므로)
- 촉박할 때는 수동적으로 기기 작동
4. 휴대폰 포렌식 툴
- BitPim : 강력한 오픈소스 프로그램, LG나 삼성 포함 여러 벤더에서의 CDMA 휴대폰 데이터 수집
- -> 연락처, 달력, 배경화면, 휴대폰 벨소리, 파일 시스템 등 다양한 데이터 복구 가능
- Oxygen Forensic Suite : 휴대폰 전용 포렌식 프로그램
- -> 연락처, SIM 카드 데이터, 삭제된 문자 메시지, 달력, 사진, 동영상, GPS 위치 등 복구 가능
- Paraben Corporation : 다양한 휴대기기 전용 포렌식 하드웨어 및 소프트웨어 툴 판매
- -> 네비게이션 기기도 지원
- AccessData의 MPE+ : 3500개 이상의 휴대폰 지원
- -> 통화기록, 메시지, 사진, 음성메시지, 동영상, 달력, 이벤트 등 수집 가능
- Cellebrite의 UFED(Universal Forensic Extraction Device) : 독립형 하드웨어 장비
- -> 2500개 이상의 휴대폰 지원하며 현장에서 바로 정보 축출 가능
- EnCase Smartphone Examiner : 스마트폰과 타블렛의 데이터 축출 및 검토 툴
5. 네비게이션
- 네비게이션에도 엄청난 양의 증거 저장 가능!!
- 네비게이션을 심플, 스마트, 하이브리드, 네트워크 4 가지로 분류 가능
- 1. 심플 네비게이션은 트랙포인트(trackpoint), 웨이포인트(waypoint), 트랙(track) 로그 저장
- 2. 스마트 네비게이션은 기본 기능에 MP3, 사진 보기, 자주 가는 곳 저장 기능 존재
- 3. 하이브리드 네비게이션은 블루투스 휴대폰과 연결 가능하며 연결 휴대폰의 정보 저장됨
- 4. 네트워크 네비게이션은 하이브리드에 구글 검색 및 교통 정보 등 실시간 정보 기능 포함
- 트랙포인트는 해당 기기가 있었던 위치에 대한 기록이지만,
- 웨이포인트는 사용자가 물리적으로 해당 위치에 갔다는 것을 의미하지는 않는다.
6. 요약
- 셀룰러 네트워크는 기지국, 기지국 교환센터, 방문자 위치 등록기 등 다양한 구성요소로 구성된다.
- 셀룰러 네트워크의 종류로는 CDMA, GSM, iDEN이 있다.
- 휴대폰 운영체제로 윈도우 모바일, iOS, 안드로이드 그리고 심비안이 있다.
- 통신업체가 유지하고 있는 기록 또한 조사에 유용할 수 있다.
- 휴대기기를 처리할 때 가장 먼저 해야 하는 것은 네트워크로부터 고립시키는 것이다.
- 특정 휴대폰은 용의자나 통신업체가 모든 데이터를 원격에서 삭제할 수 있다는 것이다.
- 모든 휴대폰이 SIM 카드를 사용하지는 않는다.
- 오늘날 네비게이션 또한 디지털 증거의 역할을 한다.
<책 출처>
이제 시작이야! 디지털 포렌식 - 존 새몬스
'read > 이제 시작이야! 디지털 포렌식' 카테고리의 다른 글
[이제 시작이야! 디지털 포렌식] Chapter 9 네트워크 포렌식 (0) | 2021.01.30 |
---|---|
[이제 시작이야! 디지털 포렌식] Chapter 6 안티포렌식 (0) | 2021.01.27 |
[이제 시작이야! 디지털 포렌식] Chapter 8 인터넷과 이메일 (0) | 2021.01.24 |
[이제 시작이야! 디지털 포렌식] Chapter 5 윈도우 시스템에서의 증거 수집 (0) | 2021.01.24 |
[이제 시작이야! 디지털 포렌식] Chapter 4 증거 수집 (0) | 2021.01.18 |
Comments