Cellebrite Mobile Forensics
목차
소개[편집]
Cellebrite Mobile Forensics는 Cellebrite에서 개발한 통합 모바일 포렌식 장비이다.
소프트웨어로 구현된 Cellebrite Mobile Forensics Series는 총 6가지이다.
UFED Physical Analyzer[편집]
안드로이드, 블랙베리, 아이폰으로부터 데이터를 물리적으로 추출하는 도구이다.
UFED Logical Analyzer[편집]
분석 도구와 데이터를 논리적으로 추출하는 도구를 소개 해주는 도구이다.
UFED Link Analysis[편집]
여러 모바일 장치 간에 연관도를 분석하는 도구로써 엔티티분석, 타임라인, 위치, 링크 그래프, 보고서 생성 기능을 제공한다.
UFED Phone Detective[편집]
수집한 핸드폰을 식별할 때 사용하는 도구로써 4000개 전화 데이터베이스에서 검색, GUI, 시각화 기능을 제공한다.
UFED Reader[편집]
고급분석(검색 및 북마크 기능)과 보고서 생성 기능을 제공한다. Cellebrite Mobile Forensics 장비는 [그림 1]와 같다.
사용법[편집]
Android 기기 데이터 추출 및 분석[편집]
Android 기기를 연결하여 주요 데이터를 추출할 수 있다. 조사 대상 디바이스를 연결한 후 ‘제조사’ 버튼을 클릭하여 [그림 2]과 같이 제조사, 모델명 등을 선택한다.
[그림 3]과 같이 USB 디버깅 활성화 이후 MTP모드로 설정해야 이미징을 할 수 있다.
추출 방법은 논리적 추출과 파일시스템 추출이 있다. 논리적 추출로 다음과 같은 파일을 수집할 수 있다.
- 전화번호부
- SMS
- MMS
- 이메일
- IM
- 달력
- 앱 데이터
- 사진
- 오디오/음악
- 비디오
- 벨소리
- 통화 기록
수집을 시작하면 대상 기기에 UFED에서 제작한 앱이 설치되고 수집을 시작한다.
추출이 완료되면 설치되었던 앱은 삭제되며 추출 결과를 표시한다.
파일시스템 추출 시에는 2가지 모드가 있다.
- Android Backup - No Shared : SD영역을 제외한 전체 백업
- Android Backup - With Shared : SD영역을 포함한 전체 백업
장치에서 우측 하단의 데이터 백업을 터치하면 백업작업이 시작된다.
추출이 완료되면 다음과 같이 출력된다.
iOS 기기 데이터 추출 및 분석[편집]
iOS 기기를 연결하여 주요 데이터를 추출할 수 있다. Android 기기의 데이터 추출 방법과 동일하게 조사 대상 디바이스를 연결한 후 ‘Select Device’ 버튼을 클릭하여 제조사, 모델명 등을 선택한다. ‘Connect’ 버튼을 클릭하면 첫 번째 ‘Select Data for Extraction’ 창이 나타난다.
추출 방법은 논리적 추출, 파일 시스템 추출, 물리적 추출이 있다.
논리적 추출로 다음과 같은 파일을 수집할 수 있다.
- 전화번호부
- SMS
- MMS
- 이메일
- IM
- 달력
- 앱 데이터
- 사진
- 오디오/음악
- 비디오
- 벨소리
- 통화 기록
추출이 완료되면 추출한 데이터의 총 내역이 출력된다.
도구 기능[편집]
Images[편집]
Images에서는 스마트기기에서 추출된 이미지 파일을 Hex View로 출력한다.
Analyzed Data[편집]
Analyzed Data에서는 스마트기기에서 추출된 이미지 파일을 분석하여 Calendar, Call Log, Chats, Contacts, Installed Applications, MMS Message, Searched Items, SMS Message, User Accounts, Web Bookmarks를 확인할 수 있다.
Calender[편집]
Contacts 에서는 스마트기기에서 사용하였던 일정 정보가 출력한다.
Call Log[편집]
Call log 에서는 스마트기기에서 사용하였던 일정 정보가 출력한다.
Chats[편집]
Chat에서는 스마트기기에서 사용하였던 메신저 채팅내역을 출력한다.
Contacts에서는 스마트기기에서 사용하였던 메신저의 친구목록을 확인할 수 있다.
Installed Applications[편집]
Installed Applications에서는 스마트기기에 설치했던 어플리케이션 리스트를 확인할 수 있다.
MMS Messages[편집]
MMS Messages에서는 스마트기기에 사용하였던 MMS를 확인할 수 있다.
Searched Items[편집]
Searched Items에서는 스마트기기에서 검색한 내역들을 출력한다.
SMS Message[편집]
SMS Message에서는 스마트기기에서 SMS 내역들을 출력한다.
User Accounts[편집]
User Accounts에서는 스마트기기에서 사용했던 계정 내역들을 출력한다.
Web Bookmarks[편집]
Web Bookmarks에서는 스마트기기에서 북마크 정보를 확인할 수 있다.
Data Files[편집]
Data Files에서는 스마트기기에서 추출된 이미지에서 Applications, Audio, Configurations, Databases, Documents, Images, Text, Videos 파일 종류별로 출력한다.
Applications[편집]
Applications에서는 스마트기기에 설치된 어플리케이션의 이름과 경로, 크기, 생성시간들을 출력한다.
Audio[편집]
Audio에서는 스마트기기에 저장된 음악파일의 이름과 경로, 크기, 생성시간들을 출력한다.
Databases[편집]
Databases에서는 스마트기기에 저장된 데이터베이스파일의 이름과 경로, 크기, 생성시간 들을 출력한다.
Documents[편집]
Documents에서는 스마트기기에 저장된 PPT 또는 PDF, 문서파일들의 이름과 경로, 크기, 생성시간 들을 출력한다.
Images[편집]
Images에서는 스마트기기에 저장된 모든 이미지들의 이름과 경로, 크기, 생성시간들을 출력한다.
Text[편집]
Text에서는 스마트기기에 저장된 text 정보들의 이름과 경로, 크기, 생성시간들을 출력한다.
Videos[편집]
Videos에서는 스마트기기에 저장된 모든 동영상의 이름과 경로, 크기, 생성시간들을 출력한다.
Timeline[편집]
Timeline에서는 스마트기기에 저장된 데이터들을 분석하여 타임라인을 출력한다.
Project Analytics[편집]
Project Analytics의 하단 카테고리에 있는 Phones에서는 스마트기기에 저장된 데이터 중 문자메시지와 통화기록을 분석하여 상관관계를 출력한다.
Skype에서는 스마트기기에 저장된 데이터 중 스카이프의 채팅메시지, 전화, 문자 빈도수 분석하여 상관관계를 출력한다.
제한사항[편집]
UFED에서 추출 시 안드로이드 같은 경우 Cellebrite Mobile Forensics사에서 제작한 안드로이드 어플리케이션을 설치하여 스마트기기의 데이터를 추출하거나 ADB backup기능을 사용하여 데이터를 추출하며하기 때문에 무결성을 보장 받을 수 없으며 어플리케이션 설치 같은 경우 안드로이드 킷켓 업데이트 이후에는 데이터 추출이 불가능하다. 또한 DD(RAW) 이미징 파일을 불러올 수 없고 이미징작업을 하지 않기 때문에 미할당영역을 카빙 할 수 없다. 추출한 데이터를 분석하여 얻을 수 있는 앱 정보가 국내에서 사용하는 메신저 중 네이버 라인만 지원하여 수사에서 큰 도움이 되지 못한다.
수사 활용 방안[편집]
이미징 작업을 하지 않기 때문에 데이터 추출시간이 빨라 유사시 유용하게 사용할 수 있다.
