[모바일 포렌식] Autopsy 툴이란?

Autopsy는 디지털 포렌식 플랫폼이자 Sleuth Kit 및 기타 디지털 포렌식 도구에 대한 그래픽 인터페이스이다. 법 집행 기관, 군대 및 기업 심사관이 컴퓨터에서 발생한 일을 조사하는 데 사용한다. 카메라의 메모리 카드에서 사진을 복구하는 데 사용할 수도 있다.

 

분석 기능

• 타임라인 분석 - 고급 그래픽 이벤트 보기 인터페이스
• 해시 필터링 - 알려진 불량 파일에 플래그를 지정하고 알려진 양호한 파일은 무시한다.
• 키워드 검색 - 관련 용어를 언급하는 파일을 찾기 위한 색인화된 키워드 검색이다.
• 웹 아티팩트 - Firefox, Chrome 및 IE에서 기록, 책갈피 및 쿠키를 추출한다.
• 데이터 조각 - PhotoRec을 사용하여 할당되지 않은 공간에서 삭제된 파일 복구
• 멀티미디어 - 사진에서 EXIF를 추출하고 비디오를 본다.
• 손상 지표 - STIX를 사용하여 컴퓨터를 스캔한다.

---

1. Autopsy를 이용한 프로세싱

Case Information

Case Information

Select Type of Data Source

Select Data Source

android analyzer 선택

2. 파일 시스템 분석 및 데이터 추출(Data Source)

안드로이드 운영체제의 파일시스템은 ext4를 사용한다. Data Source 메뉴에서 각 파티션을 확인할 수 있으며, 각 파티션(볼륨) 중 사용자 관련 데이터가 저장된 부분은 userdata 파티션이다. userdata 파이션 내에는 여러 폴더가 존재하며 그 중 유의깊게 봐야 하는 폴더는 app, data, media이다.

파티션 확인

각 폴더를 클릭하면 폴더 내 존재하는 파일을 확인할 수 있으며 우클릭을 통해 자료추출 또한 가능하다. 다음과 같이 카카오톡 메세지 DB를 추출할 수 있다. 카카오톡 메시지와 같이 사용자가 직접 설치한 어플리케이션의 데이터들은 Autopsy에서 분석 결과가 제공되지 않으므로 추출한 후 추가적인 분석이 필요하다.

3. 파일 확인 및 복구 (View)

View 메뉴에서는 파일 유형 별 조회가 가능하다.

Tab	기능
By Extension	확장자별 분류
Documents	알려진 문서 속성
Executable	실행파일
By MIME Type	파일 종류 구분

Autopsy 에서는 파일카빙을 통해 비할당 영역에서의 파일복구를 지원한다. 만약, 삭제된 파일영역이 다른 데이터로 덮어씌워지지 않았다면 복구가 가능하다. 파일이 덮어씌웠는지 여부는 해당 파일의 Size를 보고 알 수 있다. Size가 0 일 경우 이미 해당 영역은 다른 데이터에 의해 덮어씌워진 것으로 복구가 불가능하다.

이 부분인데 왜 파일이 없을까...?

4. 기본 앱 분석(Result)

핸드폰을 초기화하였을 때 기본으로 설치되어 있는 안드로이드 기본 어플리케이션에 대해서는 Results 메뉴에서 분석결과를 제공한다. 통화기록, 연락처, 문자, 웹 기록을 확인할 수 있으며, Keyword Search 또한 가능하다. 프로세싱 옵션을 선택 시 Keyword를 설정하여 진행한다면 사건과 관련된 데이터만을 확인할 수 있다.

 

5. Timeline 분석을 통한 사용자 행위 추적

Autopsy 상단의 메뉴 중 Timeline을 클릭하면 시간대별 사용자 행위를 분석할 수 있다. 이 핸드폰은 2015년에 쓰이던 핸드폰이라는 것을 알 수 있었다.

타임라인 분석

Details 메뉴를 클릭하면 각 흔적의 상세한 내역들을 확인할 수 있으며 이를 통해 시간대별로 핸드폰의 사용자가 어떠한 행위를 하였는지 유추할 수 있다.

타임라인 Details

---

출처: https://c0msherl0ck.github.io/mobile%20forensic/post-mobile-android-autopsy/