이번 글에서는 iOS 포렌식을 위해 개발 된 도구들과 포렌식 분석 업무에 도움이 될만한 도구들을 소개하고자 한다. iOS가 탑재 된 모바일 장치가 급격히 많이 사용 됨에 따라 이와 비례적으로 발생하는 침해사고등을 분석하기 위해 여러 업체에서는 iOS 분석 도구를 개발해 판매하거나 무료로 배포하고 있다. 여기서 소개하는 도구들은 모두 완벽한 도구들은 절대로 아니다. 테스트를 해보면 일부 데이터가 누락된다거나 분석하지 않는 부분이 있다거나 하는 등의 단점을 모든 도구가 지니고 있다. 이는 정확한 분석 방법론과 정확한 분석 방법이 확립되지 않아서 발생하는 문제다. 이러한 이유로 포렌식 분석을 하기 위해 도구를 사용 할 때에는 여러가지 면을 살펴 신중하게 도구를 선택해야 한다.


1. mdhelper

해당 도구는 iOS가 탑재 된 모바일 장치로부터 생성 되는 백업 파일을 대상으로 분석 데이터를 추출 해 주는 도구이다. 해당 도구는 무료이며, Mac OS X 전용 파일 포맷인 dmg 파일 포맷의 단일 파일로 배포 되고 있다. 그러나 해당 도구를 실행하면 Mac OS X의 타임스탬프가 수정 되어 침해 PC에서 실행한다면 타임스탬프 조작으로 인해 타임라인 분석이 어려워 질 것이다. 이를 예상하고 해당 도구를 써야한다.


[그림 1 - mdhelper 도움말]


2. Susteen Secure View 3

해당 도구는 모바일 장치로부터 분석 데이터를 수집 할 때 사용하는 도구이다. 설치와 조작이 간편하고 기기와의 연결 또한 쉽게 할 수 있는 장점이 있다. 하지만 지원하지 않는 iOS 모바일 장치가 있어 모든 모바일 장치에 적용 할 수 있는 도구는 아니다.


3. Oxygen Forensic Suite

해당 도구는 모바일 장치로부터 데이터를 수집하고 분석까지 해주는 도구이다. 무료 버전과 유료 버전으로 사용자에게 제공되고 있는데 무료 버전의 경우 30일 이내에 30번 실행 제한이 있다. 유료 버전은 그 가격이 고가여서 개인이 사용하기에는 조금 부담이 있는 것이 사실이다. 해당 도구의 데이터 수집 능력과 분석 능력은 다른 도구들에 비해 좋지만, 사용자가 어렵게 느껴질만한 툴 사용방법과 분석 결과에서 사용 되는 익숙하지 않은 용어들로 인해 기본 지식이 없는 조사관이라면 오히려 분석에 더 힘이 들 수도 있는 도구이다. 또 몇 개의 내부 기능을 사용하기 위해서는 또 다른 비용을 지불해야 한다는 단점이 있다.


[그림 2 - Oxygen Forensic Suite 2012]


4. Katana Forensics Lantern

해당 도구는 유료로 판매되는 도구로 데이터를 수집(이미징 포함)하고 분석하는 기능을 지원한다. 하지만 분석 결과는 다른 도구에 비해 만족스럽지 못하다는 것이 단점이다. 분석 기능에서 모든 데이터베이스를 분석해 주지 않아 사용자가 따로 데이터베이스를 분석해야 하는 번거로움이 발생한다. 또 매번은 아니지만 가끔 수집한 데이터를 분석하는 도중 데이터를 삭제하기도 해 도구의 신뢰성이 다른 도구에 비해 좋지 않다.


5. i-fundbox

해당 도구는 무료로 배포 되는 도구로 Windows와 Mac OS X 버전이 존재한다. 해당 도구는 다른 도구들처럼 포렌식을 위해 개발 된 도구는 아니다. iTunes를 대체하기 위한 도구로 개발되었는데 모바일 장치의 접근이 Raw 파일시스템까지 되어 포렌식 업무를 수행하는데 있어 부족하지 않은 도구이다. 주소록의 데이터베이스만을 얻고 싶은데 사실 이 데이터베이스를 얻기 위해서는 데이터 파티션의 이미징 한 뒤 이미지 파일에서 해당 데이터를 추출해야 한다. 이는 시간이 많이 걸리고 번거로운 작업인데 해당 도구를 이용하면 원하는 파일만을 분석환경으로 가져 올 수 있다. 또한 GUI 환경과 사용자 어플리케이션의 파일까지 획득 가능 해 여러모로 도움이 되는 도구이다.


[그림 3 - i-funbox]


위에서 소개한 도구들 말고도 여러 도구들이 존재한다. 자신이 포렌식 업무를 수행하는데 있어 도구를 선택해야 할 때는 인터넷에 다른 사람이 해당 도구를 테스트한 결과나 도구 판매처에서 제공하는 정보, 지원기기 등을 세심히 살펴본 후 도구를 선택해야 한다. 또 도구를 선택 할 때 고가의 도구가 분석능력이 좋고 저가의 도구가 분석능력이 좋다는 선입견 또한 버려야 할 것이다.

'[+] Forensic' 카테고리의 다른 글

Exif 포맷의 사진 데이터 조작 여부 판단 방법  (3) 2012.09.15
Internet Explorer 10 Forensic  (0) 2012.09.09
iOS Forensic - (4)  (0) 2012.08.16
iOS Forensic - (3)  (0) 2012.08.15
iOS Forensic - (2)  (0) 2012.08.14

+ Recent posts