Cellebrite Mobile Forensics
목차
소개
Cellebrite Mobile Forensics는 Cellebrite에서 개발한 통합 모바일 포렌식 장비이다.
소프트웨어로 구현된 Cellebrite Mobile Forensics Series는 총 6가지이다.
UFED Physical Analyzer
안드로이드, 블랙베리, 아이폰으로부터 데이터를 물리적으로 추출하는 도구이다.
UFED Logical Analyzer
분석 도구와 데이터를 논리적으로 추출하는 도구를 소개 해주는 도구이다.
UFED Link Analysis
여러 모바일 장치 간에 연관도를 분석하는 도구로써 엔티티분석, 타임라인, 위치, 링크 그래프, 보고서 생성 기능을 제공한다.
UFED Phone Detective
수집한 핸드폰을 식별할 때 사용하는 도구로써 4000개 전화 데이터베이스에서 검색, GUI, 시각화 기능을 제공한다.
UFED Reader
고급분석(검색 및 북마크 기능)과 보고서 생성 기능을 제공한다. Cellebrite Mobile Forensics 장비는 [그림 1]와 같다.
사용법
Android 기기 데이터 추출 및 분석
Android 기기를 연결하여 주요 데이터를 추출할 수 있다. 조사 대상 디바이스를 연결한 후 ‘제조사’ 버튼을 클릭하여 [그림 2]과 같이 제조사, 모델명 등을 선택한다.
[그림 3]과 같이 USB 디버깅 활성화 이후 MTP모드로 설정해야 이미징을 할 수 있다.
추출 방법은 논리적 추출과 파일시스템 추출이 있다. 논리적 추출로 다음과 같은 파일을 수집할 수 있다.
- 전화번호부
- SMS
- MMS
- 이메일
- IM
- 달력
- 앱 데이터
- 사진
- 오디오/음악
- 비디오
- 벨소리
- 통화 기록
수집을 시작하면 대상 기기에 UFED에서 제작한 앱이 설치되고 수집을 시작한다.
추출이 완료되면 설치되었던 앱은 삭제되며 추출 결과를 표시한다.
파일시스템 추출 시에는 2가지 모드가 있다.
- Android Backup - No Shared : SD영역을 제외한 전체 백업
- Android Backup - With Shared : SD영역을 포함한 전체 백업
장치에서 우측 하단의 데이터 백업을 터치하면 백업작업이 시작된다.
추출이 완료되면 다음과 같이 출력된다.
iOS 기기 데이터 추출 및 분석
iOS 기기를 연결하여 주요 데이터를 추출할 수 있다. Android 기기의 데이터 추출 방법과 동일하게 조사 대상 디바이스를 연결한 후 ‘Select Device’ 버튼을 클릭하여 제조사, 모델명 등을 선택한다. ‘Connect’ 버튼을 클릭하면 첫 번째 ‘Select Data for Extraction’ 창이 나타난다.
추출 방법은 논리적 추출, 파일 시스템 추출, 물리적 추출이 있다.
논리적 추출로 다음과 같은 파일을 수집할 수 있다.
- 전화번호부
- SMS
- MMS
- 이메일
- IM
- 달력
- 앱 데이터
- 사진
- 오디오/음악
- 비디오
- 벨소리
- 통화 기록
추출이 완료되면 추출한 데이터의 총 내역이 출력된다.
도구 기능
Images
Images에서는 스마트기기에서 추출된 이미지 파일을 Hex View로 출력한다.
Analyzed Data
Analyzed Data에서는 스마트기기에서 추출된 이미지 파일을 분석하여 Calendar, Call Log, Chats, Contacts, Installed Applications, MMS Message, Searched Items, SMS Message, User Accounts, Web Bookmarks를 확인할 수 있다.
Calender
Contacts 에서는 스마트기기에서 사용하였던 일정 정보가 출력한다.
Call Log
Call log 에서는 스마트기기에서 사용하였던 일정 정보가 출력한다.
Chats
Chat에서는 스마트기기에서 사용하였던 메신저 채팅내역을 출력한다.
Contacts에서는 스마트기기에서 사용하였던 메신저의 친구목록을 확인할 수 있다.
Installed Applications
Installed Applications에서는 스마트기기에 설치했던 어플리케이션 리스트를 확인할 수 있다.
MMS Messages
MMS Messages에서는 스마트기기에 사용하였던 MMS를 확인할 수 있다.
Searched Items
Searched Items에서는 스마트기기에서 검색한 내역들을 출력한다.
SMS Message
SMS Message에서는 스마트기기에서 SMS 내역들을 출력한다.
User Accounts
User Accounts에서는 스마트기기에서 사용했던 계정 내역들을 출력한다.
Web Bookmarks
Web Bookmarks에서는 스마트기기에서 북마크 정보를 확인할 수 있다.
Data Files
Data Files에서는 스마트기기에서 추출된 이미지에서 Applications, Audio, Configurations, Databases, Documents, Images, Text, Videos 파일 종류별로 출력한다.
Applications
Applications에서는 스마트기기에 설치된 어플리케이션의 이름과 경로, 크기, 생성시간들을 출력한다.
Audio
Audio에서는 스마트기기에 저장된 음악파일의 이름과 경로, 크기, 생성시간들을 출력한다.
Databases
Databases에서는 스마트기기에 저장된 데이터베이스파일의 이름과 경로, 크기, 생성시간 들을 출력한다.
Documents
Documents에서는 스마트기기에 저장된 PPT 또는 PDF, 문서파일들의 이름과 경로, 크기, 생성시간 들을 출력한다.
Images
Images에서는 스마트기기에 저장된 모든 이미지들의 이름과 경로, 크기, 생성시간들을 출력한다.
Text
Text에서는 스마트기기에 저장된 text 정보들의 이름과 경로, 크기, 생성시간들을 출력한다.
Videos
Videos에서는 스마트기기에 저장된 모든 동영상의 이름과 경로, 크기, 생성시간들을 출력한다.
Timeline
Timeline에서는 스마트기기에 저장된 데이터들을 분석하여 타임라인을 출력한다.
Project Analytics
Project Analytics의 하단 카테고리에 있는 Phones에서는 스마트기기에 저장된 데이터 중 문자메시지와 통화기록을 분석하여 상관관계를 출력한다.
Skype에서는 스마트기기에 저장된 데이터 중 스카이프의 채팅메시지, 전화, 문자 빈도수 분석하여 상관관계를 출력한다.
제한사항
UFED에서 추출 시 안드로이드 같은 경우 Cellebrite Mobile Forensics사에서 제작한 안드로이드 어플리케이션을 설치하여 스마트기기의 데이터를 추출하거나 ADB backup기능을 사용하여 데이터를 추출하며하기 때문에 무결성을 보장 받을 수 없으며 어플리케이션 설치 같은 경우 안드로이드 킷켓 업데이트 이후에는 데이터 추출이 불가능하다. 또한 DD(RAW) 이미징 파일을 불러올 수 없고 이미징작업을 하지 않기 때문에 미할당영역을 카빙 할 수 없다. 추출한 데이터를 분석하여 얻을 수 있는 앱 정보가 국내에서 사용하는 메신저 중 네이버 라인만 지원하여 수사에서 큰 도움이 되지 못한다.
수사 활용 방안
이미징 작업을 하지 않기 때문에 데이터 추출시간이 빨라 유사시 유용하게 사용할 수 있다.
