디지털 팩트
소개[편집]
디지털 팩트는 ㈜데이터닥터에서 개발한 상용 모바일 포렌식 도구이다. 스마트폰으로부터 이미지를 획득하는 ‘Digital FACT 획득’ 프로그램과, 이를 통해 얻은 이미지를 분석하는 ‘Digital FACT 분석’ 프로그램과 나뉜다. 본 도구는 Windows XP 이상, RAM 1G 이상의 환경에서 실행 가능하다.
사용법[편집]
Digital FACT 획득[편집]
아래는 ‘Digital FACT 획득’의 실행 화면이다. 좌측의 ‘모델 탐색기’를 통해 이미지를 획득하려는 스마트폰의 모델을 선택한다. 메뉴의 ‘모델 정보 조회’를 통해 모델을 검색할 수도 있다.
= Android 기기 데이터 추출[편집]
먼저 스마트폰의 전원이 켜져 있는 상태로 케이블을 연결한 후, 메뉴에 ‘Download Mode’로 다운로드 모드에 진입한다. 메뉴에 ‘디스크 이미지’ 아이콘이 활성화 되면, 이 버튼을 클릭한다. 그러면 cache, system, data 영역 중 특정 영역만 추출할 것인지, 전체를 추출할 것인지 묻는 창이 나타난다. 원하는 영역을 골라 추출한 데이터는 .bin 확장자로 저장된다. 추출 작업이 완료되면 케이블을 분리하고 스마트폰의 전원을 켜도 된다. 삼성 스마트폰의 경우에는 메뉴의 ‘Natural Mode’를 눌러 다운로드 모드 Lock을 해제한 후에 전원을 켠다.
iOS 기기 데이터 추출[편집]
아이폰의 전원이 켜져있는 상태로 케이블을 연결한 후, 메뉴에 ‘디스크 이미지’ 아이콘이 활성화 되면 버튼을 클릭하여 데이터를 추출한다. 추출한 데이터는 .nbf 확장자로 저장되며, 이에는 ‘Digital FACT 분석’에서 분석을 지원하는 데이터만 포함한다.
Digital FACT 분석[편집]
메뉴는 크게 ‘분석(Home)’, ‘참조(Reference)’ 탭으로 나뉜다. ‘분석(Home)’은 파싱, 레코드/파일 복구 등 실질적인 분석 기능을 하고, ‘참조(Reference)’는 파일 스캐닝을 위해 사용자가 직접 파일 시그니처를 추가하거나, 특정 확장자에 대한 뷰어를 추가할 수 있도록 한다.
분석(Home)[편집]
분석(Home) 탭은 상단의 메뉴바, 좌측의 분석 앱 목록, 우측의 분석 결과로 구성되어 있다.
_%ED%83%AD.png)
Android 기기는 [그림 3]의 ‘Image File > Android Disk’에 ‘Digital FACT 획득’을 통해 추출한 데이터를 입력한다. 사용자 데이터(앱, 전화번호부 등)만 분석하길 원할 때에는 ‘PIMS 자동분석’, 멀티미디어만 분석하길 원할 때에는 ‘멀티미디어 자동분석’을 실행한다. iOS의 경우에도 같은 방법으로 IOS라고 표시된 메뉴를 이용하여 분석한다.
메뉴의 옵션을 통해 사용자 설정을 할 수 있다. 옵션의 목록은 [그림 4]와 같다.
메뉴의 ‘저장’으로 현재 분석한 workspace 파일을 저장할 수 있고, ‘열기’를 통해 이전에 이미 분석하였던 workspace를 열 수 있다. ‘디스크 뷰어’는 Hex 형태로 디스크를 볼 수 있다. 체크박스로 선택한 파일들은 메뉴의 ‘파일 저장’을 통해 저장할 수 있다. 앱 DB에서 삭제된 레코드는 메뉴의 ‘삭제레코드 복구’를 통해 복구 할 수 있으며, ‘파일 검색 및 복원’에서 원하는 확장자의 파일을 검색하거나 복구할 수 있다. 분석 결과, 레코드 목록에서 우클릭하면 ‘키워드 검색’을 할 수 있고, 메뉴의 ‘보고서’탭에서 원하는 확장자로 출력할 수 있다.
참조(Reference)[편집]
참조(Reference) 탭의 구성은 [그림 5]와 같다. 메뉴의 ‘참조아이템 > 추가’를 통해 디지털 팩트가 지원하지 않는 파일 확장자(시그니처)와 그 파일 뷰어를 [그림 6]과 같이 추가할 수 있다. 파일 시그니처는 ‘Use Custom Search Alogorithms’에서 설정한다. 이러한 참조 아이템들을 참조 DB로 관리하며, ‘가져오기’로 불러오거나 ‘내보내기’로 불러올 수 있다.
_%ED%83%AD.png)
도구 기능[편집]
Digital FACT 획득[편집]
[그림 7]은 Digital FACT 획득의 메인 메뉴다.
획득 옵션[편집]
디스크 획득 옵션을 지정한다. 획득 옵션 아이콘을 선택하면 [그림 8]과 같은 창이 나타난다.
디스크 획득 옵션에서는 Raw Disk로 획득할 것인지 MDF(Mobile Disk File)로 획득할 것인지 선택할 수 있다. ‘획득시 파티션 선택하기’를 선택하면 디스크에 포함된 파티션을 선택적으로 획득한다. ‘획득시 증거물 정보 출력하기(XML)’ 옵션을 선택하고 데이터를 획득하면 획득한 파일의 저장 위치에 XML 확장자로 된 파일이 저장된다. 이 XML 파일은 획득한 이미지의 모델명, 파일시스템, 파일명, 날짜, MD5, SHA1 등의 정보를 담고 있다. ‘획득시 증거물 정보 Excel로 출력하기’는 이러한 정보를 엑셀 파일로 저장한다.
데이터 헤더 정보[편집]
보고서를 출력할 때 기관명칭, 부서, 담당관, CASE 번호 등 조사관이 원하는 내용을 추가하거나 변경하고자 할 때 사용한다. 해당 아이콘을 선택하면 보고서 정보에 대한 내용을 입력할 수 있는 창이 나타난다.
레코드 추가 : 사용자가 필요한 레코드 추가 레코드 삭제 : 기존에 입력한 레코드 삭제 레코드 변경 : 기존에 입력한 내용에 변경 및 추가 헤더정보 저장 : 입력한 전체 내용 저장 헤더정보 읽기 : 미리 입력한 내용 읽기 가장 최근 헤더 정보 자동 로드 : 체크된 경우, 최근 헤더 정보를 자동 로드
Download Mode[편집]
시스템을 마운트하지 않고 부트로더에 접근해서 데이터를 획득하기 위해 다운로드 모드로 진입할 때 사용하는 메뉴이다.
Normal Mode[편집]
분석 완료 후 정상적으로 부팅한다.
디스크 이미지[편집]
전체 디스크를 파티션별로 구분하여 획득하는 데 사용한다.
Digital FACT 분석[편집]
Digital FACT가 분석을 지원하는 아티팩트는 [표 1]과 같다.
| OS | 아티팩트 |
|---|---|
| Android | 전화번호부, 통화목록, 메모, Gmail, sp-mode-mail, 카카오톡, 마이피플, eMail-android, NaverLine, 틱톡, 메시지(SMS, MMS), eMail-samsung, 네이트온, 북마크, 방문 기록, 검색 기록, 위치, 길찾기, 검색 키워드, GPS Position, Google Talks, Apps Histroy, Account 정보, SKYPE, 서울버스, 배달의 민족, 070 Call-logs, Forensics 서비스, 바이버(Viber), Twitter, QQ, COMM, BAND |
| iOS | 전화번호부, 통화목록, 메시지(SMS, MMS), 메모, 스케줄, 카카오톡, NaverLine |
분석의 메인 메뉴는 [그림 9]와 같다.
Image File[편집]
분석하고자하는 이미지를 선택한다. 하위 메뉴는 [그림 10]과 같다.
‘Android Disk’와 ‘IOS Disk’는 각각 안드로이드 장치에서 획득한 이미지와 iOS 장치에서 획득한 이미지를 불러오기 위한 메뉴다. 자동 분석은 ‘PIMS(사용자 데이터) 자동분석’, ‘멀티미디어 자동분석’, ‘전체 자동분석’으로 구분되어 있다. Digital FACT는 기본적으로 파일과 데이터를 파싱하여 분석한다. ‘PIMS 자동분석’은 PIMS(사용자 데이터)만 분석하고, ‘멀티미디어 자동 분석’은 음악, 영상, 그림 같은 멀티미디어 데이터만 분석한다. ‘전체 자동 분석’은 PIMS와 멀티미디어 모두 분석한다.
Digital FACT 옵션[편집]
분석자가 분석할 때 사용할 옵션이다. 프로그램을 시작하면 마지막에 변경하여 저장된 옵션을 불러온다. 옵션 화면은 다음과 같다.
디스크 뷰어[편집]
분석하고자하는 파일을 열고 ‘디스크 뷰어’를 선택하면 해당 이미지에 대한 물리 디스크와 논리 디스크(파티션) 목록을 보여준다. 각 항목을 선택하면 선택한 디스크에 대한 16진수 뷰어가 실행된다.
삭제 레코드 복구[편집]
삭제된 SQLite3 DB 레코드를 복구한다. [그림 12]는 레코드를 복구할 아티팩트를 선택하는 화면이다.
파일 검색 및 복원[편집]
검색하고자하는 파일을 선택하여 검색한다. [그림 13]은 검색할 파일을 선택하는 화면이다. 검색할 파일은 이미 정의되어 있는 것을 쓰거나 직접 시그니처를 등록하여 파일을 정의할 수 있다.
정의되지 않은 파일에 대한 시그니처는 분석 탭 옆에 있는 참조 탭을 이용하여 정의한다. 참조 탭을 클릭하면 [그림 14]처럼 파일 종류와 포맷이 트리 구조로 나타난다.
메뉴에서 추가를 누르면 새로운 파일 타입을 정의할 수 있다. [그림 15]는 파일 정의 화면이다.
데이터 마이닝[편집]
SQLite3 테이블 형태로 된 데이터를 분석자가 임의로 정의해서 결과를 얻기 위해 사용한다. 이 결과를 기존에 자동으로 파싱되는 PIMS 데이터 결과에 추가할 수 있다.
보고서 헤더 정보[편집]
보고서를 출력할 때 기관명칭, 부서, 담당관, CASE 번호 등 조사관이 원하는 내용을 추가하거나 변경하고자 할 때 사용한다. 해당 아이콘을 선택하면 보고서 정보에 대한 내용을 입력할 수 있는 창이 나타난다. 레코드 추가, 레코드 삭제, 레코드 변경, 헤더정보 저장, 헤더정보 읽기, 가장 최근 헤더 정보 자동 로드 등의 버튼이 있으며 내용은 Digital FACT 획득의 ‘데이터 헤더 정보’와 동일하다.
Microsoft EXCEL, PDF, XML[편집]
분석된 내용을 엑셀 파일, PDF, XML 파일로 저장한다.
제한 사항[편집]
사용 중 오류가 잦으며, 오류 발생 시 메시지를 출력하지 않아서 실행 중인 것인지 에러가 나서 멈춘 것인지 구별하기 어렵다. Digital FACT에서 iOS의 정상적인 분석을 지원하는 파일 포맷은 Digital FACT 획득에서 추출한 .nbf 파일이다. 그러나 이 파일은 범용적이지 않아서 다른 iOS 분석 도구에서 사용할 수 없으며, 다른 도구에서 획득한 iOS 데이터도 Digital FACT에서 분석할 수 없다. Live 이미지, 데이터마이닝, 보고서 헤더 정보처럼 메뉴에는 존재하지만 비활성화되어 있어서 실제로 사용하지 못하는 기능이 있다.
수사 활용 방안[편집]
Digital FACT는 안드로이드 이미지 파일에서 카카오톡, Line, 마이피플, 네이트온과 같이 국내에서 많이 사용되는 앱 분석을 지원한다. 하지만 iOS 분석을 통해 얻을 수 있는 앱 정보가 적어서 아이폰 수사에는 큰 도움이 되지 못한다. 또한 참조 탭에서 조사자가 검색하고자 하는 파일 시그니처를 추가할 수 있어서 수사 시 유용하게 사용할 수 있다.
