XRY Series
목차
소개[편집]
XRY는 Micro Systemation에서 개발한 스마트폰 및 모바일 포렌식 도구이다. 모바일 장치의 데이터 추출 및 복구가 가능하며 13,000 여종의 모바일 장치와 500여개의 어플리케이션을 지원한다. Windows7, Windows8의 환경에서 실행이 가능하며 상용 도구이다. XRY Series는 크게 6개로 분류할 수 있다.
XRY Logical[편집]
모바일 디바이스로부터 데이터를 논리적으로 추출하는 도구이다. 모바일 장치의 운영체제를 통하여 데이터 추출 및 삭제된 파일 복구, 스마트폰 앱의 데이터 분석 기능을 제공한다.
XRY Physical[편집]
모바일 장치로부터 데이터를 물리적으로 추출하는 도구이다. XRY Logical과 제공하는 기능은 동일하지만 데이터에 접근하는 방법에 차이점이 있다. XRY Logical은 모바일 장치의 운영체제를 통하여 데이터를 추출하지만 XRY Physical은 운영체제를 통하지 않고 물리적으로 데이터에 직접 접근하기 때문에 XRY Logical에 비하여 많은 데이터를 추출하고 복구할 수 있다.
XRY Complete[편집]
XRY Logical과 XRY Physical을 함께 결합한 도구로써 데이터 접근 방법을 선택하여 작동할 수 있다. [그림 1]은 XRY Complete의 구성 사진이다.
XRY Field Version[편집]
XRY 필드버전은 XRY를 외부에서도 바로 사용할 수 있도록 만든 XRY의 포터블 버전이다. [그림 2]은 XRY Field Version의 사진이다.
XACT[편집]
모바일 장치로부터 논리/물리적으로 추출한 데이터를 볼 수 있는 Hex Viewer이다. [그림 3]은 XACT의 실행 화면이다.
XRY SIM ID-Cloner[편집]
GSM 기반 모바일폰의 SIM카드를 복사한다. GSM 디바이스가 SIM카드가 삽입된 채로 켜져있다면 네트워크 통신에 위험이 발생할 수 있다. 하지만 SIM ID-Cloner는 이런 문제없이 안전하게 SIM카드를 복제할 수 있다.
사용법[편집]
안드로이드와 아이폰의 데이터 획득 과정은 같다. [그림 4]는 XRY의 커넥터이다. 이 장치에는 모바일 디바이스를 최대 3개까지 연결할 수 있다.
XRY 커넥터에 모바일 디바이스, 파워케이블, 동글키, 컴퓨터에 연결될 USB 케이블을 연결한다. [그림 5]는 XRY 커넥터에 각 케이블, 동글키와 iPhone4를 연결한 사진이다.
커넥터에 각 장치를 연결한 후 XRY 프로그램을 실행하면 [그림 6]과 같은 실행화면이 나타난다.
XRY의 초기 실행화면을 살펴보면 Automatic Cable, Automatic Bluetooth, Device Finder 기능이 있다. Automatic Cable은 XRY 커넥터에 연결된 모바일 디바이스를 자동으로 인지하여 연결하는 기능이며 실행화면은 [그림 7]과 같다.
Apple의 iPhone이 인식된 것을 확인할 수 있다. Automatic Bluetooth 기능은 블루투스를 통하여 기기를 인식한다. [그림 8]은 Automatic Bluetooth의 실행 화면이다.
Device Finder 기능은 사용자가 직접 모바일 디바이스의 모델을 선택하여 모바일 기기와 연결할 수 있다. [그림 9]는 Device Finder의 실행 화면이다.
XRY가 모바일 기기를 인식하여 컴퓨터와 연결된 후에 [그림 10]의 실행 화면이 나타난다.
데이터 획득방법으로 Logical(Full read), Logical(No files), Physical이 있으며 획득할 수 있는 데이터의 양은 일반적으로 Physical > Logical(Full read) > Logical(No files) 순으로 더 많은 정보를 얻을 수 있다. Logical 방법의 경우 실질적인 데이터 카빙은 할 수 없으며, SQLite 파일의 미할당영역에서 복구하는 정도의 기능을 제공한다. 또한, 안드로이드는 adb를 이용하여 데이터에 접근하고 아이폰의 경우 아이튠즈 백업기능을 통하여 데이터에 접근한다. [그림 11]은 iPhone을 Logical로 데이터를 획득하려 할 때 나타나는 팝업창이다.
iPhone을 논리적으로 데이터를 획득하려 할 때 아이튠즈 백업을 이용하는 방법과 램디스크 방식 중 선택하여 데이터를 획득 및 복구할 수 있다. 램디스크 방식은 아이튠즈 백업을 이용한 방법보다 더 많은 데이터를 획득하고 복구할 수 있다. 이후 Logical(Full read), Logical(No files), Physical의 데이터 획득화면과 결과화면은 동일하다. 아래는 XRY의 데이터 획득과 상태정보에 대한 화면이다.
데이터를 획득하는 진행 과정과 얼마나 진행되었는지 볼 수 있는 프로그레스바를 확인할 수 있다. 데이터 획득 및 복구가 끝나면 다음과 같은 화면이 나타나며 데이터 획득과정이 끝나게 된다.
도구 기능[편집]
XRY 분석 프로그램은 XRY Extractor로 획득 및 복구한 데이터 파일(.xry)을 분석하고 파일로 저장할 수 있는 기능이 존재한다. 장치, 파일, XRY 시스템에 대한 정보를 확인할 수 있으며, 장치 탭에서 모바일 디바이스의 일반 정보를 확인할 수 있다. 파일 탭에서는 사진, 오디오, 동영상, 문서, DB파일 등을 확인할 수 있고 각 파일들의 중요도를 설정할 수 있다. XRY 시스템 탭에서는 장치개요와 로그파일을 확인할 수 있다. 아래는 XRY 분석 프로그램을 이용하여 모바일 디바이스의 일반정보를 확인한 화면이다.
장치버전 외 저장 용량, 사용가능한 저장공간, 모델번호, 전화번호 등의 정보를 열람할 수 있다. 파일 탭에서는 각 항목의 이름, 크기, 생성·수정·확인 시간을 확인할 수 있다. 사진, 동영상, 오디오 항목은 미리보기와 직접 재생할 수 있는 기능이 제공된다. 다음은 동영상 항목을 확인한 화면이다..
XRY 시스템 탭의 장치개요에서 모바일 디바이스의 지원 항목을 확인할 수 있다. 다음은 시스템 탭의 장치개요에서 확인할 수 있는 모바일 디바이스의 지원 항목을 나타낸 캡쳐 화면이다.
시스템 탭의 로그에서는 데이터를 획득할 때의 로그정보를 확인할 수 있다.
제한 사항[편집]
안드로이드 계열인 갤럭시 S3, 갤럭시 S4, 갤럭시 노트2는 Logical, Physical 획득방법 모두 정상으로 동작하지 않았으며 iPhone4, iPhone4S는 Physical 획득방법이 정상작동하지 않았다. iPhone의 Logical 획득 방법 중 iPhone4는 램디스크 방식으로 데이터를 획득할 수 있었지만 iPhone4S는 램디스크 방식으로 데이터를 획득할 수 없었다. 파일 이름이 한글로 되어있는 경우 초성, 종성, 중성이 분리되어 보인다. 아래는 파일이름의 초성, 종성, 중성이 분리되어진 화면을 보여주는 그림이다.
수사 활용 방안[편집]
모바일 디바이스와 연결하는 핀의 종류가 많아 여러 가지 모바일 디바이스의 데이터를 획득할 수 있다. 현장에서 모바일 기기의 데이터를 획득해야 할 경우 XRY Field Version을 이용하여 데이터를 획득할 수 있다. 하지만 이번 실험에서 안드로이드의 경우 Logical, Physical 방법을 통한 획득이 정상 작동하지 않았기 때문에 XRY는 국내에서 사용하기에는 부적합한 도구이다.
