MD Series

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

MD Series는 GMD System 에서 개발한 모바일 포렌식 도구로 Windows 운영체제 환경에서 실행 가능하다. MD Series는 총 6가지이다.




MD-Tool

휴대폰 데이터 추출 파일을 분석하여 모바일 포렌식 보고서를 작성하는 도구이다. 해당 도구에선 휴대폰 파일시스템 분석, 삭제 파일 복구, 휴대폰 데이터 분석, 보고서 자동 작성 기능을 제공한다. MD-Tool의 실행 화면은 [그림 1]와 같다.

[그림 1] MD-Tool 실행화면





MD-Smart

스마트폰의 데이터를 추출하고 분석하여 모바일 포렌식 보고서를 작성하는 도구이다. 해당 도구에선 스마트폰 데이터 추출, 파일 시스템 분석, 삭제 파일 복구, 어플리케이션 데이터 분석, 보고서 자동 작성 기능을 제공한다. MD-Smart의 실행 화면은 [그림 2]와 같다.

[그림 2] MD-Smart 실행화면





MD-Box

스마트폰 및 휴대폰의 물리적 데이터를 획득하는 포렌식 장비이다. 해당 장비에선 스마트폰 및 휴대폰 데이터 획득, 쓰기 방지 기능, 해시값 생성, 데이터 고속 다운로드 기능을 제공한다. MD-Tool 장비는 [그림 3]와 같다.

[그림 3] MD-Box





MD-UBox

안드로이드 스마트폰의 플래시 메모리 데이터를 USB 케이블로 추출하는 모바일 포렌식 장비이다. 해당 도구에선 데이터 미리보기, 쓰기 방지, 해시값 생성, 데이터 고속 다운로드 기능을 제공한다. MD-UBox 장비는 [그림 4]와 같다.

[그림 4] MD-UBox





MD-MR

휴대폰의 플래시 메모리를 제거하여 데이터를 추출하는 모바일 포렌식 장비이다. 해당 도구는 휴대폰이 고장, 화재, 침수, 훼손 되어 케이블 연결이 어려울 경우 플래시 메모리를 직접 제거하여 데이터를 추출할 때 사용한다. 분리한 메모리를 분석을 위한 MD-MR의 실행 화면은 [그림 5]와 같다.

[그림 5] MD-MR 실행화면





MD-Reader

스마트폰의 플래시 메모리를 제거하여 데이터를 추출하는 모바일 포렌식 장비이다. 해당 도구에선 데이터 미리보기, 쓰기 방지, 해시값 생성, 데이터 고속 다운로드 기능을 제공한다. MD-Reader 장비는 [그림 6]와 같다.

[그림 6] MD-Reader





사용법

Android 기기 데이터 추출 및 분석

Android 기기를 연결하여 주요 데이터를 추출할 수 있다. 조사 대상 디바이스를 연결한 후 ‘획득’ 버튼을 클릭하여 [그림 7]과 같이 제조사, 모델명 등을 선택한다.

[그림 7] 안드로이드 모델 선택 화면 예시

추출 가능한 데이터 이미징 방법은 아래와 같다.


  • Physical 물리적 덤프
  • MR 메모리를 제거하여 덤프
  • USIM 유심리더기 덤프
  • RM 메모리카드 덤프


각각의 핸드폰 기종마다 덤프할 수 있는 방법이 상이하다.

[그림 8] 스마트폰 기종 확인



iOS 기기 데이터 추출 및 분석

iOS 기기를 연결하여 주요 데이터를 추출할 수 있다. Android 기기의 데이터 추출 방법과 동일하게 조사 대상 디바이스를 연결한 후 ‘획득’ 버튼을 클릭하여 [그림 9]와 같이 제조사, 모델명 등을 선택한다.

[그림 9] 아이폰 모델 선택화면

추출 가능한 데이터 이미징 방법은 아래와 같다.


  • Physical 물리적 덤프
  • MR 메모리를 제거하여 덤프
  • USIM 유심리더기 덤프
  • RM 메모리카드 덤프


각각의 아이폰 기종마다 덤프할 수 있는 방법이 상이하다.

[그림 10] 아이폰 물리적 수집화면



도구 기능

MD-Extractor로 수집에서 획득한 MDF 파일이나 이미지파일인 DD 파일 같은 파일을 분석하기 위해 추가할 수 있다. MDF 파일에는 이미징한 시간과 파일 해시, 모델명이 기록되어 있지만 다른 이미지에선 기록하지 않아 [그림 11]과 같이 모델명을 직접 선택해야 분석할 수 있다.

[그림 11] 아이폰 물리적 수집 화면


MD-Smart에서 자동 분석 기능을 통해 파일시스템 재구성, 데이터 복권, 분석 기능을 수행할 수 있다.


[그림 12] 파일 복원 기능


파일 복원 기능으로 할당영역과 미할당영역의 복원을 지원하며 JPG, JPG Thumnail, PNG, AMR, MP4, WAV 파일을 복원할 수 있다.


[그림 13] 분석 기능


분석 기능을 통해 통화, 메시지, 이메일, 일정, 메모, SNS, 메신저, 인터넷, 지도, 교통, 금융, 사용자계정, 클라우드, 멀티미디어, 기타 등을 분석하여 분류되어 database 파일로 생성하여 출력한다. 수집된 결과는 Excel, HTML, CSV 포맷으로 추출가능하다. 자동 분석 기능이 완료되면 좌측 탭에서 파일트리를 확인할 수 있으며 분석결과 창을 출력한다.


[그림 14] 분석기능


자동 분석결과에는 Information, Application, Call Register, Phone Book Group, Phone Book, ChatRoom, Message, Email, Schedule, Memo, Cloud Log, ToDo, Multimedia, Internet History, Map, Etc 순으로 탭으로 확인할 수 있다.


Information

Information 에서는 스마트기기에서 사용하였던 ID와 해당 정보가 삭제되었는지 Active에서 확인할 수 있다. 또한 source 정보를 확인할 수 있다.


[그림 15] Information




Application

Applicaion에서는 스마트기기에 설치된 앱 목록과 앱 실행 횟수, 앱이 가지고 있는 퍼미션 정보등을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 16] Application




Call Register

Call Register에서는 스마트기기에서 문자메시지 수신과 발신 정보와 통화 기록을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 17] Call Register



Phone Book Group

Phone Book Group에서는 스마트기기에서 문자메시지 수신과 발신 정보와 통화 기록을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 18] Phone Book Group



Phone Book

Phone Book에서는 스마트기기에 저장한 전화번호나 이메일 정보 등을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 19] Phone Book



ChatRoom

ChatRoom에서는 스마트기기에서 사용한 앱의 채팅방 정보들을 출력한다. 또한 해당 메시지가 삭제되었는지 Active에서 확인할 수 있다.


[그림 20] Chat Room



Message

Message에서는 스마트기기에서 사용한 채팅Active와 문자Active 정보들을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 21] Message



Email

Email에서는 스마트기기에서 사용하였던 이메일 정보들을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 22] Email



Schedule

Schedule에서는 스마트기기에서 사용자가 입력한 일정 정보들을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 23] Schedule



Memo

Memo에서는 스마트기기에서 사용하였던 기본 메모 정보와 메모 애플리케이션의 정보들을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 24] Memo



Cloud Log

Cloud Log에서는 스마트기기에서 사용하였던 클라우드 정보들을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 25] Cloud Log



Todo

ToDo에서는 스마트기기에서 사용자가 입력한 할 일에 대해서 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 26] Todo



Multimedia

Multimedia에서는 스마트기기에 저장된 이미지와 동영상 정보들을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 27] Multimedia



Internet History

Internet History에서는 스마트기기에서 사용하였던 웹브라우저의 검색 기록 등을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 28] Internet History



Map

Map에서는 스마트기기에서 사용자가 검색한 지도 어플리케이션의 검색기록 등을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 29] Map



ETC

ETC에서는 스마트기기에서 사용자가 사용하였던 문서뷰어나 소셜네트워크 등의 기타 어플리케이션의 정보들을 출력한다. 또한 해당 정보가 삭제되었는지 Active에서 확인할 수 있다.


[그림 30] ETC





제한사항

MD-Smart에서 수집 시 스마트기기를 자동으로 인식하지 않아 수동으로 모델을 선택하여 각 모델별로 물리적 추출과 논리적 추출할 수 있으며 안드로이드는 카카오톡, Line, 마이피플, 네이트온과 같이 국내에서 많이 사용되는 메신저 어플리케이션 분석을 지원한다. 그러나 iOS 분석을 통해 얻을 수 있는 메신저 어플리케이션 정보가 적어서 아이폰 수사에는 큰 도움이 되지 못한다. 분석 결과 창의 크기가 작으며 창에서 재 정렬을 하지 못해 일일이 스크롤 하여 분석해야 한다. 또한 삭제된 내용을 복구하는 기능을 제공하지만 복구된 데이터의 경우 오탐이 다수 존재했다.



수사 활용 방안

현재 존재하는 스마트폰의 대부분의 로우 데이터 수집 기능과 대중화 된 어플리케이션의 사용 기록을 자동으로 분석해 효율적으로 분석할 수 있다. MD-Smart에서 지원하지 않는 최신 스마트기기 같은 경우 조사관이 직접 이미징 작업을 한 이후 파일시스템을 파악한 후 자동 분석 기능을 이용할 수 있다. 가장 많은 대중화된 어플리케이션 분석을 지원하기 때문에 짧은 시간 동안 모바일 포렌식 수사 시 매우 유용하게 사용할 수 있다.

원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=MD_Series&oldid=7751"