MPE+

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

MPE+(Mobile Phone Examiner Plus)는 AccessData에서 개발한 통합 모바일 포렌식 도구로 Windows 운영체제 환경에서 실행 가능하다. 해당 도구에선 SMART 복구, 안드로이드 장치 분석, iOS 장치 분석, 시각화기능을 지원하며 지원 하는 모델은 Legacy GSM/CDMA devices, iOS , Android , Blackberry, Windows Mobile™ and Chinese devices이다. 또한 MPE+를 사용하여 추출한 데이터를 .AD1 포맷으로 저장하여 통합 포렌식 분석 도구인 FTK에서도 분석 가능하다.


사용법

MPE+의 첫 실행 화면은 다음과 같다.

[그림 1] MPE+ 실행 화면

메뉴에서 ‘Import Image File...’을 클릭하면 휴대폰 데이터 이미지 파일을 불러와 분석할 수 있다. 지원하는 이미지 파일 형식은 아래와 같다.

  • AD1
  • FAT
  • E01
  • YAFFS / YAFFS2
  • EXT / EXT2 / EXT3 / EXT4
  • TAR
  • RFS
  • DD4 / DD8 / DD4.001 / DD8.001

Android 기기 데이터 추출 및 분석

Android 기기를 연결하여 주요 데이터를 추출할 수 있다. 조사 대상 디바이스를 연결한 후 ‘Select Device’ 버튼을 클릭하여 아래와 같이 제조사, 모델명 등을 선택한다.

[그림 2] MPE+ - 조사 대상 디바이스 선택

‘Connect’ 버튼을 클릭한 후 ‘Select Data for Extraction’ 창에서 추출할 데이터를 체크한다. 추출 가능한 데이터 종류는 아래와 같다.

  • Audio Media Files
  • Bluetooth Devices List
  • Browser Bookmarks
  • Browser History
  • Call History
  • Contacts
  • Image Media Files
  • MMS / SMS
  • System Packages List
  • User Packages List
  • Wifi Hotspots

그러나 실제 실험시 브라우저 히스토리 정보는 추출되지 않았다. 데이터 추출이 완료되면 상단 메뉴바에 추출된 데이터 분류별로 아이콘 옆에 추출한 데이터 개수를 나타낸다. Call History 정보는 다음과 같다. 통화 타입(수신, 발신, 부재), 연결시각, 전화번호, 통화시간 등을 보여준다.

[그림 3] MPE+ - Call History

Contacts 정보는 아래와 같다. 연락처 이름, 전화번호, 저장된 사진, 이메일, 주소 등을 보여준다.

[그림 4] MPE+ - Contacts

MMS 정보는 아래와 같다. 수신자/발신자 번호, 메시지 확인 여부, 제목, 내용, 수신/발신 시각 등을 보여준다. 그러나 일부 한글을 정상적으로 출력하지 못하는 경우도 있다.

[그림 5] MPE+ - MMS

SMS 정보는 다음과 같다. 수신자/발신자 번호, 메시지 확인 여부, 내용, 수신/발신 시각 등을 보여준다. ‘Conversation’ 영역에서 전화번호를 클릭하면 해당 전화번호와의 대화 내역을 출력한다.

[그림 6] MPE+ - SMS

Android Packages 정보는 다음과 같다. 조사 대상 디바이스에 설치된 안드로이드 앱의 패키지 이름, 앱 이름, 버전정보 등을 보여준다.

[그림 7] MPE+ - Android Packages

Wifi Hotspots 정보는 다음과 같다. 조사 대상 디바이스에서 연결했던 Wifi의 SSID를 보여주며, 가장 마지막에 연결되었던 SSID를 나타낸다.

[그림 7] MPE+ - Wifi Hotspots

Bookmarks 정보는 다음과 같다. 웹 브라우저에 북마크한 사이트 명과 URL을 보여준다. 북마크한 시각 등의 정보는 존재하지 않는다.

[그림 8] MPE+ - Bookmarks

Image Files 정보는 아래와 같다. 파일 크기, 사진을 찍은 시각, 기기에 저장된 시각, 파일 타입, 저장 경로, 파일명, 파일의 해시 값(MD5, SHA-256) 등을 저장한다. 또한 우측 하단에는 선택한 이미지의 미리보기, EXIF 정보, 헥사 값 등을 보여준다.

[그림 9] MPE+ - Image Files

Video Files 정보는 아래와 같다. 파일 크기, 동영상을 촬영한 시각, 기기에 저장된 시각, 파일 해상도, 파일 타입, 영상의 길이, 저장 경로, 파일명, 해시 값(MD5, SHA-256) 등을 저장한다. 우측 하단에는 선택한 동영상 파일의 재생화면을 보여준다.

[그림 10] MPE+ - Video Files

iOS 기기 데이터 추출 및 분석

iOS 기기를 연결하여 주요 데이터를 추출할 수 있다. Android 기기의 데이터 추출 방법과 동일하게 조사 대상 디바이스를 연결한 후 ‘Select Device’ 버튼을 클릭하여 제조사, 모델명 등을 선택한다. ‘Connect’ 버튼을 클릭하면 첫 번째 ‘Select Data for Extraction’ 창이 뜬다. 이 창에서는 추출할 데이터의 소스를 선택한다. 추출할 데이터의 소스 목록은 아래와 같다.

  • Apple Backup Service
  • Application Network usage and Diagnostics
  • Device Diagnostics
  • Extended Third party Application Data
  • Extended user and System Databases
  • User Media Folder (/var/mobile/Media)

소스 목록을 선택하면 두 번째 ‘Select Data for Extraction’ 창이 뜬다. 이 창에서 추출할 데이터를 선택하면 된다. 추출 가능한 데이터 목록은 아래와 같다.

  • Application Data
  • Applications Opened
  • Bookmarks
  • Browser History
  • Calendar
  • Call History
  • Contacts
  • Cookie
  • Corrected Text
  • Emails
  • Location Log
  • MMS
  • Notes
  • SMS

대부분의 데이터가 Android 기기와 유사하나 몇 가지 다른 점이 있다. Device Information에서는 [그림 11]과 같이 연결된 기기의 제조사 및 모델 등의 상세 정보를 확인할 수 있다.

[그림 11] MPE+ - Device Information

Corrected Text는 기기에서 만들어진 자동 텍스트 교정리스트이다. 교정이 발생하면 교정 횟수를 카운트한다. 아래와 같이 디바이스 내부 파일 시스템을 트리 구조로 분석하여 살펴볼 수 있다. DB 파일의 경우 ’SQLite Explorer’ 기능을 이용하여 DB 내용을 분석할 수 있다.

[그림 12] MPE+ - File System

도구 기능

MPE+는 Time Analysis 기능을 통해 이메일, SMS, MMS, 전화기록 등의 추출한 데이터를 아래과 같이 그래픽 인터페이스로 제공한다. 파일 및 이메일 날짜를 기준으로 해당 데이터를 필터링하여 볼 수 있다. 만약 해당 파일에 MAC 타임(생성/수정/접근시간) 정보가 없다면 표시되지 않는다. Social Analysis 기능도 Time Analysis와 마찬가지로 기기에 저장된 통신데이터양을 시각화하며, 연락처별로 커뮤니케이션 횟수를 카운트하기 때문에 친밀도 분석에 유용하게 사용할 수 있다.

[그림 13] MPE+ - Time Analysis

iOS 기기에서는 카빙 기능을 사용할 수 있다. MPE+ 카빙 프로세스는 파일 시그니처와 매칭되면 해당 파일을 추출한다. 예를 들어 멀티미디어 파일 카빙으로 MMS 텍스트 메시지 안에 있는 비디오 파일을 복구할 수 있다. 데이터 카빙 기능을 사용하여 기기의 데이터 스토리지 미디어로부터 어떤 타입의 파일을 복구할지 선택할 수 있다. 복구 가능한 데이터 유형은 다음과 같다.

[그림 14] MPE+ - 데이터 카빙 옵션

데이터 카빙을 진행하면 아래와 같은 프로세스 화면을 확인할 수 있다.

[그림 15] MPE+ - 데이터 카빙 프로세스

카빙 작업이 완료되면 다음과 같은 결과를 보여준다.

[그림 16] MPE+ - 데이터 카빙 결과

‘Deleted Data’ 기능은 Android 및 iOS 기기에서 삭제된 SMS 메시지 및 Call History를 분석한다. 결과는 다음과 같다.

[그림 17] MPE+ - 삭제된 데이터 분석 결과

MPE+로 추출한 데이터를 통합하여 보고서를 생성할 수 있다. Create Report 버튼을 클릭하면 아래와 같이 보고서 생성을 위한 설정창에 뜬다. 보고서에 포함할 데이터를 선택하고, 어떤 파일 형식으로 생성할지 선택하면 된다.

[그림 18] MPE+ - 보고서 생성

제한사항

MPE+는 Windows 7 64비트 환경에서 실행할 것을 권장한다. MPE+는 약 7000개 이상의 디바이스를 지원하며 지원하는 디바이스 목록은 ‘http://www.accessdata.com/devices/#’에서 확인할 수 있다.

수사 활용 방안

MPE+는 모바일 디바이스에 기본적으로 저장되는 사용자 데이터만을 분석한다. 전화 기록, 연락처 정보, 이메일, 메모, 메시지, 웹 기록 등 일반적으로 기기에 남는 데이터들을 종류별로 분석하기 쉽게 분류해준다. 또한 타임라인 분석을 통해 시간 정보를 포함하는 데이터의 흐름을 파악할 수 있으며, Social 분석을 통해 연락처별 친밀도를 분석할 수 있다. 또한 추출한 데이터들을 .AD1 형식으로 저장할 수 있기 때문에 통합 포렌식 도구인 FTK를 이용하여 각 데이터 파일을 더 상세하게 분석할 수 있다. 그러나 기본 앱 이외의 SNS 등의 사용자 데이터는 전혀 추출할 수 없기 때문에 분석이 제한적이다.