MAGNET Axiom - IOS Forensics #1

기회가 되어서 마그넷 회사의 axiom 디지털 포렌식 툴을 사용하게 되었습니다.

늘 감사드립니다.

필자는 진행 중이던 분석이 없으므로 새로운 케이스를 만들어 줘야 합니다.

케이스 번호, 케이스 유형, 케이스 파일 저장 위치 등등을 입력할 수 있습니다.

필자는 새로운 케이스를 생성해 줬습니다.

증거 소스를 선택해 줘야 합니다. 증거 소스로는 컴퓨터, 모바일, 클라우드가 있습니다.

클라우드는 어떤 기능을 가지고 있을지,,

필자는 항상 궁금했습니다. Magnet Axiom ios forensics을 꼭 한번 써보고 싶다. 이번에 기회가 되어 어서 빠르게 분석해보겠습니다. (필자는 아이폰을 포렌식 할 거여서 모바일을 선택했습니다.)

증거 로드, 증거 인식, GRAYKEY에 연결 기능이 있습니다. GRAYKEY에 연결,, 나중에 좀 더 알아봐야 할거 같습니다.

먼저 증거 인식을 선택해보겠습니다.

먼저 아이폰을 컴퓨터와 연결해주고 아이폰 화면에 표시된 "이 컴퓨터 신뢰" 메시지를 승인해줍니다.

승인해주면 이미지 유형을 선택할 수 있습니다. 필자는 전체를 선택했습니다.

선택해주면 위와 같이 증거 번호를 입력해 줄 수 있습니다. 필자는 오늘 날짜를 입력하겠습니다.

증거 번호를 입력해주고 실행했더니, 상세 분석 정보를 추가할 수 있었습니다.

검색에 키워드 추가, MAGNET.AI 채팅 범주화, 중첩 컨테이너 검색, 해시 값 계산, 사진 및 동영상 분류, 검색에 CPS데이터 추가, 추가 아티팩트 찾기를 선택할 수 있습니다.

 

1. 검색에 키워드 추가

검색에 키워드 추가 기능은 말 그대로 증거 내에서 특정 키워드를 추출하는 것입니다.

위 사진과 같이 키워드 목록을 추가할 수 있습니다.

필자는 "pental"이라는 키워드를 추가해 보겠습니다.

2. 중첩 컨테이너 검색

사실 무슨 기능인지 잘 모르겠습니다.

아카이브 검색, 모바일 백업 등의 기능이 존재합니다.

3. 해시 값 계산

모든 파일의 해시 값 계산, 일치하는 해시 값이 있는 태그 파일 등의 기술이 존재합니다.

대부분 알고 있듯이 특정 파일의 해시값은 고유하기 때문에 해시 값을 알고 있다면, 증거 내에서의 특정 파일을 확인할 수 있습니다.

4. 채팅 범주화

이 기능은 아마 특정 메시지를 추출하는 것 같습니다. 아이폰의 경우 SMS 데이터 베이스를 추출해 검색할 것 같다는 생각이 듭니다. 필자는 활성화하지 않겠습니다.

5. 사진 및 동영상 분류

MAGNET.AI로 사진 범주화 기능은 AI를 도입해 사진의 카테고리를 파악하는 기능입니다.

또한 해시 값으로 사진 및 비디오 분류는 위에서 말했듯이 해시 목록에 매치하는 데이터를 찾아주는 기능입니다.

필자는 이 기능들을 넘어가겠습니다.

6. 검색에 CPS 데이터 추가

7. 추가 아티팩트 찾기

이렇게 상세 분석 정보를 다 선택했다면, 아티팩트 세부 정보로 이동하겠습니다.

필자는 217개의 앱 중 215개가 사례에 포함되어 있다고 합니다. 아마 포함되어 있지 않은 2가지 앱은

필자가 탈옥 후 설치한 Cydia 앱과 탈옥을 하기 위해 설치한 Checkra1n 앱으로 추측이 됩니다.

분석할 아티팩트를 선택해 줍니다. 필자는 전체 분석을 필요로 하기 때문에 모든 아티팩트를 분석하겠습니다.

증거 분석 준비가 완료되었습니다. 증거 분석을 시작해봅시다.

이미징이 진행 중에 있습니다.

먼저 이미지를 빌드하고 이미지 해시를 계산하는 것 같습니다.

일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.

다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)