| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- gitbash
- 워게임
- wargame.kr
- mongoose
- CTF
- 이진트리
- 포렌식워게임
- 이진탐색트리
- 자바
- 자바기초
- 자바문제풀이
- 워게임추천
- 웹해킹
- node
- GIT
- 자료구조
- 써니나타스
- 웹기초
- 포렌식
- bootstrap
- NavBar
- Express
- MongoDB
- 웹해킹기초
- 웹개발
- 그래프
- node.js
- nodeJS
- materialize
- 뷰
- Today
- Total
보안 전공생의 공부
휴대기기 포렌식 본문
◆ 셀룰러 네트워크
: 여러 개의 셀(cell)로 구성되어 있음 -> 각 셀은 사전에 정해진 주파수 범위를 사용해 특정 지역에 서비스를 제공함
- 각 셀의 크기, 모양은 서로 다름
- 각 셀에서 방출하는 라디오 신호의 강도 -> 범위 제한을 위해 엄밀히 통제
-> 서비스 제공자는 그들이 사용할 수 있는 제한적인 주파수를 재활용 가능하게 됨
- 각 셀에는 기지국이 있음, 기지국에는 안테나와 관련 라디오 자비가 있음 ☞ 셀 사이트(cell site)
▶셀 타워 : 각 층면마다 3개의 패널 부착됨
가운데 패널은 보통 송신기로 사용 / 나머지 2개는 수신기로 사용 -> 지속적으로 라디오 신호 탐지
· 셀룰러 네트워크 구성요소
- 기지국 : 안테나 & 관련 장비로 구성
- 기지국 제어기(Base Station Controller ,BSC) : 기지국 사이의 신호 조절
휴대폰의 위치가 이동될 때 핵심 역할
- 기지국 교환센터(Moblie Switching Center, MSC) : 네트워크 안에서 발생한 통화 처리
무선 네트워크의 핵심적 요소
통화기록와 로그 수집, 통화 조절, 문자 메시지 처리 가능
- 방문자 위치 등록기(Visitor Location Register, VLR) : 기지국 교환센터에 연결되어 있는 데이터베이스
인터네트워크 기능 - 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할
- 공중 전화망(Public Switched Telephone Network, PSTN)
- 홈 위치 등록기(Home Location Register, HLR) : 가입자의 정보(가입자 식별 번호, 휴대폰요금 청구, 사용하는 서비스 등) 수집 + 암호화 키 저장 + 인증센터 지원
인증센터 - 연결을 조사해 승인되지 않은 사용자를 차단
- 단문 메시지 서비스 센터(Short Message Service Center, SMSC) : 문자 메시지 수집
-> 단문 메시지(SMS) vs 멀티미디어 메시지(MMS)
: 메시지 길이 가 160문자 전까지 단문, 멀티미디어는 길이 제한 無
※ 핸드오프(handoff) : 네트워크 '연결'이 하나의 셀타워에서 다른 셀타워로 이전하는 것
- 신호의 강도가 약해지면 발생함
· 셀룰러 네트워크의 종류 (데이터 전송 방식에 따라)
(1) 코드 분할 다중 접속(CDMA)
- 주파수 기술 사용해 데이터 전송함
- 한 채널로 여러 대의 휴대폰이 데이터를 송수신하도록 함 -> 각 휴대폰통화가 특정 디지털 코드로 표시됨
- CDMA 휴대폰은 일반적으로 SIM 카드 사용 X / 장치일련번호로 휴대폰 식별
(2)세계 무선 통신 시스템(GSM)
- 시분할 다중접속 기술 사용
- 전세계적으로 가장 많이 사용하는 데이터 전송 방식
- GSM 휴대폰은 SIM 카드 사용
- 국제 이동 단말기 번호(IMEI) 사용해 휴대폰 식별
(3) 통합 디지털 확장 네트워크(IDEN)
- 양방향 라디오 같은 기능 제공
- IDEN 휴대폰은 SIM 카드 사용
◆ 운영체제
(1) 블랙베리 : 캐나다 회사에서 처음 개발되어, 기업과 정부 사용자들이 애용함
- 이메일, 달력 등을 처리하는 데 매우 능숙함
- 블랙베리OS는 다양한 종류의 응용프로그램 지원 & 멀티태스킹 지원
(2) 안드로이드 : 오픈소스 운영체제 - 휴대기기에서의 혁신을 가속화하고 소비자에게 더 저렴하고, 강력하고, 나은 휴대기기 경험을 제공하는 것이 목적
(3) iOS : 애플의 컴퓨터, 노트북에서 사용되던 Mac OS X를 기반으로 만듬(4) 윈도우 모바일 : 마이크로소프트가 스마트폰, 휴대기기 시장에 내놓은 운영체제
◆ 휴대폰 증거
| 통화기록 | 문자 메시지 | 이메일 |
| 사진 및 동영상 | 삭제된 문자 메시지 | 브라우저 기록 |
| 연락처 | 위치 정보 | 채팅 세션 |
| 달력 | 음성메모 | 문서 |
※ 통화내역기록으로 많은 정보를 얻을 수 있지만 누가 실제로 통화를 했는지는 알 수 없음 !
· 휴대폰 위치 파악 방법
(1) 삼각 측량 : 3개의 서로 다른 타워로부터 휴대폰과의 거리 측정해 대략적 위치 파악
(2) 방향 안테나 : 신호의 지연 시간을 바탕으로 거리 측정, 방향 판단 가능하므로 2개의 타워만 사용
(3) GPS : 위도, 경도 파악
· 개인 식별 번호(Personal Identification Number, PIN) : 휴대폰의 보안을 강화하는데 사용됨
- 세 번 연속으로 틀리면 잠금상태가 됨
- 개인 해제 키(Personal Unlick Key, PUK)를 이용해 잠금 해지 시켜야 됨
· 휴대폰 증거 수집 및 처리
페러데이 봉투or캔으로 휴대폰 고립시키기
방전되지 않게 휴대폰 끄는 것도 좋은 방법
꺼져있는 휴대폰은 전지를 꺼내고 SIM 카드에 표시
· SIM 카드
특히 유용한 정보 2가지가 저장되어 있음
- 국제 이동가입자(International Mobile Subscriber Identity, IMSI) : 가입자의 계정 정보와 서비스를 식별하는 데 사용
- 통합 회로 카드 식별자(Integrated Circuit Card Identifier, ICC-ID) : SIM 카드 자체의 시리얼 번호
- 구성 : 프로세서(CPU), RAM, 플래시 기반의 비휘발성 메모리, 암호화 칩
- 개인 식별 번호(PIN) : SIM 데이터 보호
◆ 휴대폰 포렌식 툴
- BitPim : 강력한 오픈소스 프로그램
연락처, 달력, 배경화면, 휴대폰 벨 소리, 파일 시스템 등 다양한 데이터 복구 가능
- Oxygen Forensic Suite : 휴대폰 전용 포랜식 프로그램
SIM카드 데이터, 통화그룹, 휴대폰기록, 삭제된 문자 메시지, 사진, JAVA 프로그램, GPS 위치 등 축출 가능
( http://oxygen-forensic.com/en/ )
- Paraben Corporation : 다양한 휴대기기 전용 포렌식 하드웨어, 소프트웨어 툴 판매 / Garmin 같은 네비게이션 기기도 지원
( http://www.paraben.com/handheldforensics.html )
- AccessDate의 MPE+ : 통화기록, 메시지, 사진, 음성 메시지, 달력, 이벤트 등 수집 가능
동일한 인터페이스를 사용하여 여러 대의 휴대폰과 컴퓨터를 분석해 상관관계 확인 가능
( http://accessdata.com/products/computer-forensics/mobile-phone-examiner )
- Cellebrite의 UFED : 독립형 하드웨어 장비
연락처, 사진, 동영상, SMS, MMS, 통화기록 등 축출 가능
현장에서 정보를 바로 축출 가능
SIM카드 읽기, 클로닝 기능 포함
고객의 데이터를 하나의 휴대폰에서 다른 휴대폰으로 이전하는 데 사용하기도 함
( http://www.cellebrite.com/forensicproducts/forensic-products.html?loc=seg )
- EnCase Smartphone Examiner : 스마트폰과 타블렛의 데이터 축출, 검토
( http://www.guidancesoftware.com/encase-smartphone-examiner.html )
◆ 네비게이션
- 용의자 위치 확인, 범죄행위 자체 식별하는 데 사용
- 네비게이션 시스템에서는 27개의 인공위성 사용함
- 한 시점에 24개의 위성만이 작동함
나머지 인공위성은 주요 인공위성이 작동하지 않을 때를 대비해 백업으로 되어있음
삼변 측량을 통해 현재 위치 계산
· 종류 : 심플, 스마트, 하이브리드, 네트워크
- 심플 : 사용자가 한 장소에서 다른 장소로 이동하는 데 도움을 줌
트랙포인트(trackpoint), 웨이포인트(waypoint), 트랙로그 저장
- 스마트 : 자동차와 USB 대용량 저장장치로 세분화 가능
적어도 2GB 이상의 저장공간 有
MP3, 사진 보기, 자주 가는 곳 저장하기 기능 등이 추가로 존재
- 하이브리드 : 스마트 기기에 있는 기능 모두 가지고 있음
- 네트워크 : 하이브리드의 기능 + 구글 검색, 교통 정보 등의 실시간 정보 받는 기능
SIM카드와 GSM 라디오 장치 탑재됨
· 데이터
(1) 시스템 데이터
- 트랙포인트( 해당 기기가 있었떤 위치에 대한 기록), 트랙 로그(모든 트랙포인트의 포괄적인 목록 ) 등 제공
(2) 사용자 데이터
- 웨이포인트( 사용자가 생성한 데이터의 일부 ) -> 물리적으로 해당 위치에 갔다는 것 의미 X, 가려고 했던 곳일 수 있음
'공부 > forensic' 카테고리의 다른 글
| 네트워크 포렌식 (0) | 2021.02.04 |
|---|---|
| 안티 포렌식 (0) | 2021.01.26 |
| 윈도우 포렌식 도구 사용법 | DBbrowser for SQLite (0) | 2021.01.21 |
| 윈도우 포렌식 도구 사용법 | WinPrefetchView (0) | 2021.01.21 |
| 윈도우 포렌식 도구 사용법 | NTFS Log Tracker (0) | 2021.01.21 |
