DFC2021

1. Identify all unlock methods that the A is using (PIN / Pattern / Password) A는 2014년 3월에 안드로이드 기기를 구입하였기 때문에 당시 최신 릴리즈 버전인 KitKat 이하의 버전임을 유추해 볼 수 있다. KitKat 이하의 안드로이드 기기에서 사용되는 화면 잠금 유형과 특징 및 아티팩트를 알아보기 위해 안드로이드 SDK(Software Development Kit)을 사용해 AVD(Android Virtual Device)를 생성한다. KitKat AVD에서 지원하는 화면 잠금 해제 방법은 Slide, Pattern, PIN, Password 총 4가지로 구성되어 있다. 위 표는 KitKat 이하 버전에서 잠금 방식에 따른 아티팩트의 ..

1. Identify the device model by analyzing the Settings. (25 points) Device의 모델명을 확인하기 위해서 주어진 setting 파일에서 strings 프로그램을 이용해 string을 모두 추출한다. 아이폰 메모리 포렌식에 관련된 아무런 정보를 찾을 수 없어 직접 메모리 덤프를 진행한다. 작성자의 환경은 iPhone6 사용하고 있으며 문제 상황과 최대한 비슷하도록 덤프를 진행한다. 먼저 pip 명령어를 통해서 frida를 설치한다. C:\Users\pental>pip install frida C:\Users\pental>pip install frida-toosl [ 표 1 | frida 설치를 위한 pip 설치 구문 ] frida 설치를 마친후 아이폰..

1. What are the names of mobile games installed by the user and their initial execution time? (40 points) 먼저 주어진 이미지에 확장자가 없기 때문에 HxD 프로그램을 통해 시그니쳐를 확인한다. 주어진 시그니쳐는 ADSEGMENTEDFILE 임으로 Access Data에서 지원하는 File Format 으로 FTK Imager 를 통해 Dump를 수행했을 때 확장자를 AD1으로 진행할 경우 만들어지는 파일이다. 주어진 이미지에 확장자 .ad1 를 추가해 FTK Imager에 탑재후 분석을 시작한다. 폴더 디렉터리 구조를 확인해 보면 일반적으로 안드로이드에서 사용되는 android. ~ 폴더를 확인할 수 있으며 이를 통해 안..