MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
[ Magnet Axiom Process ]
(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!
참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다!
중요한 단계만 보려면 굵은 글씨를 따라가도록 하자.
필자는 저번 시간에 이미지 수집을 위한 모바일 장치 준비에 대해서 다뤘었다. 오늘은 이미징 모바일 장치에 대해서 다루도록 하겠습니다.
모바일 장치를 이미징 하기 전에 장치를 올바르게 준비했는지 확인하자.
더욱 상세한 정보를 알아보려면 "이미지 수집을 위한 모바일 장치 준비"을 참고하도록 하자
수집할 수 있는 이미지에는 두 가지 유형이 있습니다.
- 빠른 이미지는 사용자 데이터 및 기본 애플리케이션 데이터가 모두 포함된 포괄적인 논리적 이미지입니다.
Magnet AXIOM은 여러 가지 인식 방법을 사용하여 장치에서 가능한 한 신속하게 최대한의 정보를 얻어내므로, 증거 조사를 더욱 빨리 시작할 수 있습니다. - 전체 이미지는 실제 또는 파일 시스템 논리적 이미지입니다.
이러한 유형의 수집 중, Magnet AXIOM은 장치의 전체 내용을 단일 파일 (장치에 따라 .raw 파일 또는 .zip 파일)로 복사합니다. 전체 이미지를 사용하면 삭제된 파일을 복구할 수 있습니다.
[ 장치에 대한 엑세스 ]
- 수집할 수 있는 이미지 유형은 장치에 대한 액세스 수준에 따라 다릅니다. 전체 이미지를 얻으려면 해당 장치를 루팅 또는 탈옥해야 합니다.
- Android 장치에서 루트 액세스를 사용하면 특정 시스템 설정에 액세스해야 하는 앱을 실행하고 장치에 맞춤 이미지를 플래시하는 등의 향상된 권한을 얻을 수 있습니다.
- IOS 장치에서 탈옥은 소프트웨어의 악용 또는 보안 취약점을 사용하여 향상된 사용 권한을 부여합니다.
- 초기 iOS 버전에서는 이러한 사용 권한을 통해 장치의 전체 이미지를 얻을 수 있지만 iOS 5.0 이상의 경우 암호화는 논리적 이미지만 가져올 수 있습니다.
- 탈옥은 IOS 출시 이후에 가능합니다.
- 탈옥에 걸리는 시간은 소프트웨어에서 취약점의 난이도에 따라 달려 있습니다.
- 대부분의 최신 iOS 기기에는 공개 탈옥이 없습니다. 현재의 상태를 유지하려면 공개 탈옥을 모니터링해야 합니다.
[ MTP를 통해 미디어 및 파일 수집 ]
미디어 전송 프로토콜(MTP)을 사용하면 미디어 장치에서 사진, 비디오, 오디오 파일, 문서, 다운로드, 응용 프로그램 데이터 및 사용자 데이터 등 다양한 정보를 얻을 수 있습니다. 스마트폰에서 다른 수집 방법이 작동하지 않는 경우 MTP가 특정 암호화 방법과 암호를 무시해 논리적으로 수집할 수 있습니다.
MTP를 사용하여 스마트 폰에서 증거를 얻으려면 USB 충전 옵션을 미디어 전송 프로토콜로 설정해야 합니다.
[ 지원되는 Android 장치 ]
Magnet AXIOM Process는 Android 버전 2.1 이상인 장치와 루팅된 Android 장치의 전체 이미지에서 빠른 이미지를 얻을 수 있습니다. 또한 복구 이미지를 장치에 플래시 하여 삼성 장치에서 전체 이미지를 얻을 수 있습니다.
[ Android 전체 이미지 ]
Android 장치가 루팅되지 않았을 때 전체 이미지의 경우, Magnet AXIOM Process는 테스트된 루팅 방법을 사용하여 장치에 권한 있는 액세스를 시도합니다. Magnet AXIOM Process는 프로세스를 문서화하는 로그 파일을 생성하고 어떤 루트가 시도되었는지, 그리고 성공적인지 여부를 나타냅니다. ( 전체 이미지는 .raw 파일 형식입니다. )
** 루팅된 기기가 필요합니다. Magnet AXIOM이 장치를 루팅 할 수도 있습니다.
[ Android 빠른 이미지 ]
( 빠른 이미지는 .zip 파일 형식입니다. )
[ 앱 다운그래딩 ]
일부 최신 버전의 모바일 장치 앱은 데이터에 대한 액세스를 차단합니다. 데이터에 대한 액세스를 제공하는 이전 버전의 앱을 임시로 설치하여 증거를 인식한 다음, 장치에 원래 앱을 다시 설치하는 방법을 선택할 수 있습니다.
경고: 앱 다운그레이드와 관련된 위험이 있습니다. 이 기능을 사용할 때 장치의 데이터를 변경할 수 있습니다.
[ 잠긴 장치의 전체 이미지를 얻기 위해 패스워드 바이패스 ]
삼성 모바일 장치가 잠겨 있거나 액세스 권한을 얻을 수 없는 경우 장치에서 증거를 얻을 수 있도록 장치로 복구 이미지를 플래시 할 수 있습니다.
타사 복구 패키지 사용과 관련된 위험이 있습니다.
발생 가능한 상황:
- 장치 보증 무효
- 삼성 장치에서 Knox 보안 플랫폼을 사용 못함.
- 장치를 완전히 또는 부분적으로 작동 불가하게 하기 (장치를 "벽돌"로)
[ 복구 이미지를 장치에 플래시 ]
장치를 플래싱하기 전에 부트로더가 잠겨 있고 FRP(공장 초기화 방지) 기능이 비활성화되어 있는지 확인하십시오.
이렇게 되어 있지 않을 경우 장치가 초기화되거나 작동 불가능한 상태로 렌더링 될 수 있습니다.
AT&T 및 Verizon 장치는 부트로더가 잠겨 있는 경우가 많습니다.
부트로더가 잠겨 있는지 확인하려면 인터넷 브라우저에서 장치 모델의 "부트로더가 잠금 되어 있는지 확인"을 검색합니다. FRP는 Lollipop 5.1 이상 버전을 실행 중인 Android 장치의 보안 기능입니다.
이 기능은 사용자가 장치에서 Google 계정을 설정하면 자동으로 활성화됩니다.
FRP 기능이 활성화되면 공장 초기화 후 사용자가 이전에 설정했던 Google 계정에 로그인할 때까지 장치를 사용할 수 없습니다.
FRP에 대한 자세한 내용을 알아보려면 http://www.samsung.com/us/support/frp/를 참조하자.
- 다운로드 모드의 장치가 컴퓨터에 연결되어 있지 않은지 확인하십시오.
- 장치를 다운로드 모드로 설정합니다.
- 장치를 끕니다.
- 볼륨 감소 + Home + 전원 버튼을 동시에 길게 누릅니다.
- "경고!!" 메시지가 표시되면 버튼을 뗍니다.
- 볼륨 증가 버튼을 눌러 다운로드 모드에 들어가는 것을 확인합니다.
- 컴퓨터에 장치를 연결합니다.
- 메시지가 나타나면 장치를 복구 모드로 전환하십시오.
- 장치를 끕니다.
- 복구 모드로 들어갈 때까지 볼륨 증가 + Home + 전원 버튼을 동시에 길게 누릅니다
[ 지원되는 iOS 기기 ]
Magnet AXIOM Process는 iOS 장치 (버전 5.0 이상) 및 탈옥 iOS 장치의 전체 이미지에서 빠른 이미지를 얻을 수 있습니다.
[ iOS 전체 이미지 ]
( iOS의 전체 이미지는 .zip 파일 형식입니다. )
** 탈옥한 장비가 필요합니다.
[ iOS 빠른 이미지 ]
( 전체 이미지와 마찬가지로 iOS의 빠른 이미지는 .zip 파일 형식입니다. )
[ 암호화된 iOS 백업 수집 및 스캔 ]
1. Maget AXIOM Process의 증거 소스 섹션에서 모바일을 클릭합니다.
2. iOS > 증거 수집을 클릭
3. 장치를 클릭한 후 다음을 클릭
4. 수집할 이미지 유형을 선택하고 사례에 추가를 클릭
5. 암호화된 iTunes 백업 메시지 상자에 방금 설정한 암호를 입력
6. 추가 처리 및 아티팩트 세부 정보를 지정
7. 증거 분석을 클릭
[ 암호화된 iOS 백업 실행 ]
이미 암호화 된 iOS 백업이 있는 경우 Magnet AXIOM Process에 백업을 추가 할 수 있습니다.
그리고 암호를 제공할 수 있습니다.
1. Magnet AXIOM Process의 증거 소스 섹션에서 모바일을 클릭
2. iOS > 증거 로드를 클릭
3. 파일 & 폴더를 클릭
4. 암호화된 iTunes 백업을 찾기
5. 메시지가 나타나면 암호를 입력
6. 추가 처리 및 아티팩트 세부 정보를 지정
7. 증거 분석을 클릭
일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.
다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)