DF_m@ster

Physical Imaging디지털 포렌식에서 물리 이미지 획득은 비할당영역, 암호화된 데이터, 파일 시스템 등을 분석할 수 있게 해 준다. 안드로이드는 기본적으로 사용자에게 사용자 권한만을 부여하기 때문에 물리 이미지 획득이 불가능하고 파일 시스템 이미지 획득까지만 가능하다. 즉, 모바일 포렌식에서 물리 이미지 획득을 위해서는 Root 권한을 얻는 작업인 Rooting을 먼저 수행해야 한다. 본 글은 Android Rooting 과정 이후에 ADB를 이용해 물리 이미지 획득 방법을 상세하게 기술한 글이다.   Physical Imaging Command본 글은 이전 글에 이어 ADB와 netcat64를 이용해 안드로이드의 물리 데이터를 획득하고, PC로 전송하는 방식으로 이미징을 수행하는 방법을 기술한..

Rooting디지털 포렌식에서 물리 이미지 획득은 비할당영역, 암호화된 데이터, 파일 시스템 등을 분석할 수 있게 해 준다. 안드로이드는 기본적으로 사용자에게 사용자 권한만을 부여하기 때문에 물리 이미지 획득이 불가능하고 파일 시스템 이미지 획득까지만 가능하다. 즉, 모바일 포렌식에서 물리 이미지 획득을 위해서는 Root 권한을 얻는 작업인 Rooting을 수행해야 한다. 본 글은 Android Rooting 과정을 상세하게 기술한 글이다.   Device Info모델명S7모델 번호SM-G930SAndroid Version8.0.0   1. Odin, ADB, BusyBox, netcat64 설치Odin: Android 기기 OS를 설치하거나 업데이트하는데사용되며,사용자가 커스텀 ROM 설치, 루팅 또는..

Event Analysis먼저 SQLite의 Record 생성, 삭제, 복구 이벤트 분석에 사용할 SQLite를 생성하였다. 아래는 SQLite 내부 테이블의 모습으로, 테이블은 하나만 존재한다.   SQLite의 Record 이벤트 분석 과정은 다음과 같다. Record의 생성, 삭제, 복구 이벤트 발생 이전의 SQLite 파일을 저장하고, 추가로 이벤트 발생 이후의 파일을 추가 저장하여 두 파일을 비교분석하였다.1. Record 생성기존의 1, 2, 3번 3개의 Record에 추가적으로 Record('Choi', '2023004', 'Software')를 생성하였다. 아래는 각각 Record 생성 전, 후의 Header Page 모습이다. 변화한 데이터는 색으로 표시하였다. 주요 확인 가능 정보Fil..

SQLiteSQLite: 서버 없이도 동작하는 로컬 데이터베이스 관리 시스템으로, 오프라인 상황에서 저장되는 데부분의 데이터는 SQLite에 저장된다. 본 글은 SQLite의 구조를 디지털 포렌식의 관점(삭제, 복구, 복구 가능 여부)에서 바이너리 단위로 분석한 글이다.   SQLite StructureSQLite는 페이지의 집합으로, 페이지는 SQLite가 데이터를 저장하는 물리적인 단위이다. SQLite에서 Page는 크게 Header Page와 일반 Page로 나뉜다. Header Page는 1번 페이지로 SQLite DataBase 정보와 Schema Table 정보를 포함하고, 일반 Page는 1번 Page를 제외한 모든 페이지(Page 2 ~ N)로 Table Cell 정보를 포함한다.   P..

BitLocker Recovery Analysis비트라커가 적용된 파티션 복구를 실습하기 위해 먼저 상황을 재현하였다. 일반적으로 특정 파티션을 비트라커로 암호화하고 해당 비트라커의 복구키를 다른 파티션에 저장하는 문제들이 많아 해당 상황을 재현하였다. 아래는 실습할 디스크의 모습으로, 총 203MB 크기의 디스크를 MBR로 초기화하고, 100MB 크기의 파티션을 두 개 생성하였다. 첫 번째 파티션(E:\)의 Root Directory이하에 'Key' 디렉터리를 만들고, 해당 디렉터리에 두 번째 파티션(F:\)의 비트라커 복구키 파일을 저장하였다. 두 번째 파티션(F:\)의 Root Directory이하에 'Directory' 디렉터리를 만들고, 해당 디렉터리에 본교의 정보보안 동아리 로고 이미지 파일을..