본 포스팅에서는 모바일 기기에서 획득할 수 있는 주요 데이터를 삭제한 상황에서, 라이브 수집을 진행했을 때 데이터 획득 가능 여부를 살펴보고, 수집 도구에서 표현하는 결과를 비교해보겠습니다.
- 수집 도구 : Final Live, MD Live
- 수집 대상 : 안드로이드 기종
확인할 데이터는 다음과 같습니다.
- 문자 메시지 삭제
- 통화 내역 삭제
- 갤러리 이미지 삭제
- 녹음 파일 삭제
- 카카오톡 메시지 삭제(모두 삭제, 나에게만 삭제, 미디어 삭제)
- 카카오톡 대화방 나가기
1. 삭제된 문자 메시지
확인 불가
2. 삭제된 통화 내역
확인 불가
3. 삭제된 갤러리 파일
확인 불가
4. 삭제된 녹음 파일
기본적으로 확인 불가하지만 도구 간에 차이점을 확인했습니다.
4-1. Final Live
통화 자동 녹음이 설정된 경우 녹음 파일 경로를 위 그림과 같이 확인할 수 있습니다.
녹음 파일이 삭제된 경우 녹음 파일의 경로를 확인할 수 없습니다.
4-2. MD Live
MD Live 제품의 경우 녹음 파일이 삭제되더라도 통화 기록 탭에서 해당 파일이 존재했었다는 사실을 확인할 수 있습니다.
5. 카카오톡 메시지 삭제
5-1. Final Live
Final Live 제품의 경우 메시지를 우클릭 하고 상세보기 탭을 통해 자세한 내용을 확인할 수 있습니다.
삭제된 메시지의 경우 말풍선 옆에 X 표기를 통해 표시합니다. 이어서 시스템 메시지인 "삭제된 메시지입니다." 문구도 말풍선으로 출력해줍니다.
나에게만 삭제 기능을 이용한 경우 위 그림과 같이 말풍선 위에 � 기호를 표시합니다.
상대방 메시지 삭제의 경우 위 그림과 같습니다.
미디어 메시지가 삭제되면, 메시지 란에 해당 이미지가 임시저장된 카카오톡 서버의 URL을 표기합니다. expires(만료) 파라미터 값(UNIX TIMESTAMP)을 변환하면 임시저장된 이미지의 만료 일자를 구할 수 있습니다.
5-2. MD Live
MD Live 제품은 메시지를 더블클릭했을 때 자세한 내용을 확인할 수 있습니다. Final Live와 다른 점은 "삭제된 메시지입니다"를 시스템 메시지 형식으로 별도로 표기하는 것입니다. 그리고 비고 란을 통해 "모든 대화 상대에게서 삭제"임을 알 수 있습니다. 추가로 프로필 사진을 도구 화면에 매핑해서 보여주는 것을 알 수 있습니다.
나에게만 삭제 기능을 이용한 경우 메시지 내용이 0000000000... 값으로 식별되며, 비고 란에서 "나에게서만 삭제" 사실을 확인할 수 있습니다.
상대방 메시지가 삭제된 경우 위와 같습니다.
미디어 메시지가 삭제되면, 메시지 란에 해당 이미지가 저장된 카카오톡 서버의 URL을 표기합니다. Final Live 제품과 달리 expires 값을 해석해서 함께 표기해주고 있습니다.
6. 카카오톡 대화방 나가기
확인 불가
카카오톡은 대화방 관련 데이터를 SQLite DB 파일 형태로 저장하고 있기 때문에 메시지가 삭제된 경우 레코드의 변화를 통해 데이터의 변경 사실을 확인할 수 있지만, 대화방 나가기를 하면 해당 대화방의 DB 파일이 삭제되어 획득할 수 없는 것으로 확인됩니다.
마치며...
Final Live, MD Live 모두 라이브 선별 수집 도구이기 때문에 삭제된 파일의 경우 획득이 불가능함을 확인했습니다. 여담으로 비교적 최근 카카오톡에 추가된 기능 중 하나로 비밀 메시지 대화방이 있는데, 해당 대화방을 이용했을 때 일반 대화방과 다른 점은 없었습니다.
+ 카카오톡을 통해 전송한 미디어 메시지의 경우 3일간 서버에 저장되는 것을 알 수 있습니다.
'DFIR > Mobile Forensics' 카테고리의 다른 글
| 다양한 텔레그램 메시지 수집 방법 (14) | 2023.01.06 |
|---|---|
| 카카오톡 복호화 (KakaoTalk.db decrypt) (30) | 2021.10.29 |