한컴 사의 모바일 포렌식 제품으로 유명한 MD-NEXT를 사용하여 모바일 기기 이미징을 수행하는 과정에 대해 알아보겠습니다.
MD-NEXT는 상용 프로그램으로 동글 키가 있어야 실행이 가능합니다.
1. MD-NEXT 첫 실행
MD-NEXT를 첫 실행하면 위와 같은 화면을 볼 수 있습니다.
언어, 출력할 해시 방식, 저장 경로 및 이미징 과정에서 생성되는 펌웨어 저장 경로를 설정해야 합니다.
추가로 케이스 저장 경로, 생성 될 보고서 저장 경로 등을 설정해 줍니다.
MD-NEXT의 메인 화면은 위와 같습니다.
MD-NEXT가 지원하는 제조사들이 나열되어 있는 모습을 볼 수 있습니다.
SAMSUNG 제조사를 선택한 모습입니다. 꽤 옛날 제품들까지 이미징을 지원하는 것을 알 수 있습니다.
2. 모바일 기기 모델번호 확인
이미징 할 휴대폰의 모델번호는 설정->휴대전화 정보에서 확인할 수 있습니다.
이미징에 쓰일 제 휴대폰은 Galaxy Note20 5G 모델인데 번호는 SM-N981N 이네요.
또한 모바일 기기가 사용 중인 운영체제의 버전도 알아야 합니다.
해당 정보는 설정-> 휴대전화 정보 -> 소프트웨어 정보 에 포함되어 있습니다.
프로그램 상단의 검색 창에 SM-N981N을 검색해줍니다.
Galaxy Note 20 5G 라고 검색을 해도 잘 나옵니다.
3. 이미징 수행
저는 Android Live를 선택하여 진행해보겠습니다.
휴대폰 기종에 따라 Full File System, Boot Loader 등 제공하는 획득 방식이 다른데요, 일반적으로 최신 휴대폰일수록 획득 방식의 종류가 적다고 보면 되겠습니다.
출처 : 한컴 MD-NEXT 교육 자료
모바일 기기의 획득 방법 별 주요 데이터는 위와 같습니다.
사용하는 획득 방법에 따라 얻을 수 있는 데이터가 다르기 때문에 이 점 참고하여 진행하면 됩니다.
프로세스 진행 중 경고 창을 하나 볼 수 있는데요, 이미징을 수행과정 중 사용자 데이터 영역에 파일을 써야하기 때문에 이에 대해 휴대폰 주인에게 동의를 구하라는 내용 입니다.
이미지 획득 방법에 따라 어플을 설치하는 경우도 있으며 앱의 버전을 다운그레이드하기 위해 삭제했다가 재설치를 하는 경우도 있습니다.
이러한 경우에는 어플리케이션의 배치가 변경될 수 있기 때문에 휴대폰 주인의 동의를 구하고 진행하면 되겠습니다.
경고 창이 하나 더 출력 됩니다.
잘 읽어보고 모든 사항을 충족시킨 상태에서 계속해서 진행해주시면 됩니다.
MD-NEXT 제품은 정말 친절합니다.
그림과 설명을 보고 빠지는 내용 없이 잘 따라하기만 하면 됩니다.
제시된 설명을 잘 따라서 수행했다면 화면 좌측 하단에 장치가 검색된 것을 확인할 수 있습니다.
갤러리 캐시를 내보내려면 확인 버튼을 눌러 줍니다.
갤러리 캐시 내보내기를 실패하는 경우 위와 같은 경고 창이 뜹니다.
실패하는 경우 수동으로 해결할 수 있으며 내보내기 방법 확인하기 버튼을 누르면 가이드 창이 뜹니다.
가이드를 보고 성공했다면 아니요를, 캐시 내보내기를 하지 않으려면 취소 버튼을 눌러주면 됩니다.
Android 버전이 높은 경우 앱 다운그레이드를 위해 화면 잠금이 설정되어 있어야 합니다.
최신 휴대폰일 수록 요구하는 사항이 많으므로 설명을 보고 잘 따라 하시면 됩니다.
이제 기기 내의 수집할 수 있는 모든 데이터를 수집할 지, 앱 혹은 파일 단위의 선별 데이터를 수집할 지 선택하게 됩니다.
분석해야 하는 상황에 맞게 선택해주시면 되며, 선별은 앱 혹은 파일 단위만 가능하므로 이에 유의해주시면 됩니다.
(글 작성 날인 2022-03-14 기준, 카카오톡 특정 날짜의 메시지만 선별한다거나 특정 날짜의 웹 히스토리만 선별한다 이런 것이 불가능하다는 의미입니다. 위와 같은 데이터를 선별한다고 하면 일반적으로 이미징을 수행한 뒤, 필요한 레코드만 선별하여 진행합니다. )
마지막으로 정말 묻습니다.
어플리케이션을 삭제한 후 하위 버전을 설치했다가 데이터 수집이 완료되면 원래의 버전으로 재설치를 할 것인지 묻는 것입니다.
확인을 누르면 드디어! 이미징을 수행하게 됩니다.
이미지를 획득하기 전에 추가로 이미지가 저장될 경로와 사건 정보를 입력하게 됩니다.
분석 탭은 이미지 획득이 끝난 후 MD-RED 프로그램을 사용하여 바로 분석을 진행할 지 설정하는 것입니다.
이미지 과정 중 설치된 어플리케이션이 휴대폰 데이터에 접근할 수 있도록 권한을 설정해주는 알림 창이 출력됩니다.
모든 준비 과정이 완료되면 실제 데이터를 획득하게 됩니다.
데이터 획득 과정은 위 그림과 같이 진행률을 통해 확인할 수 있습니다.
케이블이 분리되거나, 기기 화면이 꺼지지 않도록 절대 주의합니다!!
저 같은 경우에는 본체의 USB 포트가 불안정하여 계속 연결이 끊겼는데 다른 포트로 연결하니 잘 되었습니다.
휴대폰을 보고 있으면 앱이 실행되었다 꺼졌다 합니다.
그러다보면 기기 재부팅이 필요할 때 알림창이 뜨게 되고 확인 버튼을 누르면 저절로 재부팅을 진행합니다.
화면 잠금이 필요한 경우에는 해제 해달라고 알림 창이 뜹니다.
정말! 프로그램이 시키는 행동만 수행해주면 됩니다!
모바일 이미징은 걸어 놓고 쉴 수가 없네요ㅠㅠ
전자정보 상세 목록 작성을 체크한 경우 데이터 획득이 완료된 후 생성이 됩니다.
다운그레이드를 한 어플리케이션의 목록을 제시해줍니다.
MD-NEXT 제품이 알아서 어플리케이션의 복원을 지원해주지만 정상적으로 되지 않았을 수도 있으니 목록에 있는 어플리케이션을 실행해보시면 됩니다.
4. 이미징 수행 완료
이제 이미징이 끝났습니다!
획득 결과 보고서를 확인할 수 있으며 앱 획득 결과 또한 확인할 수 있습니다.
이미징 수행 시 이미지 파일인 .mdf 파일이 생성되고 로그를 비롯한 전자정보 상세 목록, 획득 결과 보고서 등의 문서도 생성 됩니다.
화면 중앙의 R 버튼을 누르면 위 그림과 같이 MD-RED 로 프로세싱 할 수 있는 창을 볼 수 있습니다.
MD-RED 사용에 대해서는 다음에 이어서 작성해보겠습니다.
MD-NEXT 는 정말 친절한 제품입니다.
특정 기기에 대한 지식이 전혀 없더라도 프로그램에서 출력되는 그림과 설명을 통해 따라하기만 한다면 쉽게 이미징을 수행할 수 있습니다.
다만, 획득할 수 있는 데이터의 차이점과 획득 시 기기에서 변경되는 점에 대해서는 잘 숙지하고 사용자에게 동의를 잘 구해야 되겠습니다.
그리고 어플리케이션의 배치가 변경될 가능성이 있을 경우 이미징 수행 전 어플리케이션의 배치를 촬영하고, 이미징이 완료된 뒤 원래대로 어플리케이션의 배치 상태를 다시 맞춰 주면 됩니다.
'DFIR Programs > HANCOM MD' 카테고리의 다른 글
| HANCOM MD - (2) MD-RED 사용하여 모바일 이미지 분석하기 (8) | 2022.03.16 |
|---|