[논문]스마트폰 내부 정보 추출 방법

이윤호; 이상진

doi:10.13089/jkiisc.2013.23.6.1057

스마트폰 내부 정보 추출 방법
A Method of Internal Information Acquisition of Smartphones 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.23 no.6, 2013년, pp.1057 - 1067

이윤호 (고려대학교 정보보호연구원) , 이상진 (고려대학교 정보보호연구원)

초록
AI-Helper

최근 모바일 시장에는 스마트폰의 점유율이 점차 높아지고 다양한 운영체제를 기반으로 하는 스마트 기기와 애플리케이션이 출시되고 있다. 이러한 현실에서 디지털 포렌식 조사에 있어서 스마트 기기 분석의 중요성이 많이 대두되고 있으며, 사용자 행위를 분석하기 위해 기기에서 사용자 데이터를 추출할 때 데이터의 훼손을 최소화하는 것이 가장 중요하다. 본 논문에서는 안드로이드 운영체제 및 iOS 기반 기기에 다양한 루트 권한 획득방법을 적용한 후 추출된 데이터 이미지를 대상으로 파일시스템 영역별 변경되는 부분을 비교 분석하고, 결과적으로 디지털 포렌식 관점에서 가장 효율적인 루트 권한 획득방법을 제안한다.

Abstract ▼ AI-Helper

The market share of smartphones has been increasing more and more at the recent mobile market and smart devices and applications that are based on a variety of operating systems has been released. Given this reality, the importance of smart devices analysis is coming to the fore and the most important thing is to minimize data corruption when extracting data from the device in order to analyze user behavior. In this paper, we compare and analyze the area-specific changes that are the file system of collected image after obtaining root privileges on the Android OS and iOS based devices, and then propose the most efficient method to obtain root privileges.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 스마트 기기 내 플래시 메모리의 데이터 파티션 이미지 추출을 JTAG 연결과 같은 방식이 아닌 소프트웨어적 접근방식으로 적용이 가능한 루트 권한 획득방법들을 소개한다. 그리고, 실제 안드로이드 OS 및 iOS 기반 기기를 대상으로 루트 권한을 획득한 후 추출한 데이터 파티션 이미지를 파일 시스템 영역별로 분리해 변화되는 부분들을 비교한다.
본 논문에서는 스마트 기기의 데이터 이미지 추출을 JTAG 핀 연결과 같은 하드웨어적 방식이 아닌 소프트웨어적 방식으로 적용이 가능한 루트 권한 획득방법들을 소개하였고, 실제 안드로이드 운영체제 기반 갤럭시 노트와 iOS 기반 아이폰 4 기기를 대상으로 루트 권한을 획득한 후 추출한 데이터 파티션 이미지를 파일 시스템 영역별로 비교분석하였다.

제안 방법

본 논문에서는 스마트 기기 내 플래시 메모리의 데이터 파티션 이미지 추출을 JTAG 연결과 같은 방식이 아닌 소프트웨어적 접근방식으로 적용이 가능한 루트 권한 획득방법들을 소개한다. 그리고, 실제 안드로이드 OS 및 iOS 기반 기기를 대상으로 루트 권한을 획득한 후 추출한 데이터 파티션 이미지를 파일 시스템 영역별로 분리해 변화되는 부분들을 비교한다. 마지막으로 실험결과 분석을 통해 포렌식 관점에서 데이터 파티션 이미지 획득을 위해 필요한 루트 권한 획득 방법 중 데이터 훼손을 최소화하면서 효율적인 방법을 제안한다.
두 번째, 루팅을 위한 부트 이미지는 램디스크 영역의 일부 수정을 통해 생성하였다. 이렇게 생성한 이미지를 다운로드 모드에서 Fig.
두 번째, 탈옥 툴을 이용하여 완전 탈옥을 수행한 다음 NetCat으로 추출한 파티션 이미지를 첫 번째 방식으로 이미징한 파일과 비교분석하였다. 본 실험에서는 특정 애플리케이션 설치 및 이동이 수행되는 탈옥 방법과 수행되지 않는 방법을 사용하여 각각 추출한 이미지에서 변경되는 부분을 확인하였다.
그리고, 실제 안드로이드 OS 및 iOS 기반 기기를 대상으로 루트 권한을 획득한 후 추출한 데이터 파티션 이미지를 파일 시스템 영역별로 분리해 변화되는 부분들을 비교한다. 마지막으로 실험결과 분석을 통해 포렌식 관점에서 데이터 파티션 이미지 획득을 위해 필요한 루트 권한 획득 방법 중 데이터 훼손을 최소화하면서 효율적인 방법을 제안한다.
은 갤럭시 노트 플래시 메모리에 할당된 파티션 정보를 정리한 것이다. 본 실험에서는 동일한 방식으로 총 5번의 루팅과 이미지 추출을 수행하고 추출된 이미지의 전체 해시 값을 비교하였다.
5GB (14,520,253,992)) 이미지를 추출하였고, 이러한 과정을 반복 수행 시 데이터 파티션 영역에 변경되는 부분이 존재하는지를 확인하기 위해 해당 기기의 전원을 끄고 다시 DFU 모드로 재부팅을 한 후 동일한 방법으로 루트 권한을 획득하고 이미지를 추출하였다. 본 실험에서는 총 5번의 탈옥과 추출을 수행하고 추출된 이미지의 전체 해시 값을 비교하였다.
두 번째, 탈옥 툴을 이용하여 완전 탈옥을 수행한 다음 NetCat으로 추출한 파티션 이미지를 첫 번째 방식으로 이미징한 파일과 비교분석하였다. 본 실험에서는 특정 애플리케이션 설치 및 이동이 수행되는 탈옥 방법과 수행되지 않는 방법을 사용하여 각각 추출한 이미지에서 변경되는 부분을 확인하였다.
세 번째, Superuser 애플리케이션 설치를 통한 루팅 방법으로 추출한 데이터 파티션 이미지 해시 값은 ‘E1F2ACABD618994CF70DCB22EF61EC84’로 비교 데이터 셋과 다름을 확인하였고, 추출한 이미지를 ext4 파일시스템 블록별로 분리한 다음 비교 데이터 셋 블록별 해시 값과 비교하였다.
세 번째, 해당 기기에 Superuser 애플리케이션 설치를 통한 루팅 방법으로 루트 권한을 획득하여 데이터 파티션 이미지를 추출한 다음, JTAG 핀 연결을 통해 추출한 파티션 이미지와 비교분석하였다.
두 번째, 루팅을 위한 부트 이미지는 램디스크 영역의 일부 수정을 통해 생성하였다. 이렇게 생성한 이미지를 다운로드 모드에서 Fig.1.과 같은 프로그램을 통해 부트 이미지 플래싱을 수행하고 리커버리 모드로 부팅이 되면 NetCat을 통해 dd 명령어를 이용하여 데이터 파티션(/dev/block/mmcblk0p25, 총 용량 2GB(2,153,011,560)) 이미지를 추출하였다. Table 1.
과 같은 방법으로 추출하였다. 임시 탈옥인 DFU 모드에서의 램디스크 부트스트랩 방식으로 부팅 전 커널패치로 루트 권한을 획득한 후, 내부 터미널을 통한 쉘 접속을 이용하여 데이터 파티션(/dev/disk0s1s2, 총 용량 13.5GB (14,520,253,992)) 이미지를 추출하였고, 이러한 과정을 반복 수행 시 데이터 파티션 영역에 변경되는 부분이 존재하는지를 확인하기 위해 해당 기기의 전원을 끄고 다시 DFU 모드로 재부팅을 한 후 동일한 방법으로 루트 권한을 획득하고 이미지를 추출하였다. 본 실험에서는 총 5번의 탈옥과 추출을 수행하고 추출된 이미지의 전체 해시 값을 비교하였다.
첫 번째, 본 실험에서는 비교 데이터 셋을 만들기 위해 앞서 설명했던 JTAG 핀 연결을 통한 물리적 추출 방법으로 갤럭시 노트 데이터 파티션 이미지를 추출하였다.
첫 번째, 아이폰은 3GS 이후 모델부터 JTAG 핀 맵이 존재하지 않아 물리적 추출 방법은 적용할 수 없기 때문에 비교 데이터 셋 이미지는 Fig.6.과 같은 방법으로 추출하였다. 임시 탈옥인 DFU 모드에서의 램디스크 부트스트랩 방식으로 부팅 전 커널패치로 루트 권한을 획득한 후, 내부 터미널을 통한 쉘 접속을 이용하여 데이터 파티션(/dev/disk0s1s2, 총 용량 13.

대상 데이터

실험은 안드로이드 OS 4.0.3(ICS) 기반 갤럭시 노트(SHV-E160S)와 iOS 5.1 기반 아이폰 4(A1332) 기기를 대상으로 수행하였고, 루트 권한 획득 후 일반 모드에서는 두 기기 모두 전화 및 네트워크 기능이 비활성화 되는 비행기 모드(Airplane Mode)를 유지하여 파티션 이미지를 추출하였다.
5GB를 추출한 결과, 시간은 평균 1시간 18분 정도 소요되었다. 이 과정을 5번 반복 수행하여 이미지를 추출하였을 경우 Table 7.과 같이 매번 해시 값이 동일하다는 것을 확인할 수 있었고, 여기서 얻은 이미지를 비교 데이터 셋으로 사용하였다.

데이터처리

두 번째, 탈옥 툴을 이용하여 루트 권한을 획득하는 방법으로 추출한 데이터 파티션 이미지 해시 값은 ‘E5002BF3A9D0B971F5B60320305780DF’로 비교 데이터 셋과 다름을 확인하였고, 추출한 이미지를 HFS+ 파일시스템 블록별로 분리한 다음 비교 데이터 셋 블록별 해시 값과 비교하였다.

이론/모형

34MB가 변경된 것을 확인할 수 있었다. 여기서 비트맵 메타데이터 영역은 1바이트, 그 외 영역은 4바이트 단위의 바이트 스캐닝 방법을 이용하였다.

성능/효과

1% 정도의 데이터 변경을 확인하였다. 결과적으로 완전 탈옥을 수행해야 한다면 특정 애플리케이션 설치 등의 작업 없이 루트 권한만을 획득할 수 있는 방법이 데이터의 변경을 최소화 할 수 있다. Table 13.
iOS 기반 기기의 경우에는 DFU 모드에서 램디스크 부트스트랩 방식으로 부팅 전 커널패치를 통해 루트 권한을 획득한 후 이미지를 추출하는 방법이 데이터의 훼손 없이 획득할 수 있는 방법이다. 그리고, 일반적인 툴을 이용한 탈옥 방법 중에서 애플리케이션 설치 및 이동이 수행되는 방법은 Fig.9.와 같이 87.3%, 다른 작업 없이 루트 권한만을 획득하는 방법은 Fig.10.과 같이 0.1% 정도의 데이터 변경을 확인하였다. 결과적으로 완전 탈옥을 수행해야 한다면 특정 애플리케이션 설치 등의 작업 없이 루트 권한만을 획득할 수 있는 방법이 데이터의 변경을 최소화 할 수 있다.
두 번째, 루팅이 적용된 부트 이미지 플래싱 방법을 통해 데이터 파티션 이미지를 추출한 후 비교 데이터셋 해시 값과 비교하였을 때 Table 2.와 같이 동일하다는 것을 확인하였고, 이 과정을 5번 반복 수행하여 이미지를 추출하였을 경우에도 매번 해시 값이 동일하다는 것을 확인할 수 있었다. 추출 소요 시간은 평균 5분 이내였다.
세 번째, 특정 애플리케이션 설치와 시스템 애플리케이션 파일들의 이동 없이 루트 권한을 획득한 후 추출한 이미지를 비교한 결과 Table 11.과 같이 전체 13.5GB의 사용자 데이터 파티션에서 저널 영역 531.84KB, 할당 영역 9.03MB, 비할당 영역 8.35MB 등을 포함한 17.95MB가 변경된 것을 확인할 수 있었고, Table 12.와 같이 시스템 파일이나 각종 로그 파일 등이 변경되는 것을 확인할 수 있었다. 결과적으로, 변경된 파일 9,476,701바이트 사이즈는 Table 11.
안드로이드 운영체제 기반 기기에서는 램디스크 일부 수정을 통해 루팅을 수행하고 리커버리 모드에서 이미지를 추출하는 방법이 원본 데이터의 훼손 없이 획득할 수 있는 가장 효율적인 방법이고, 그 외 애플리케이션 설치를 통한 루트 권한 획득은 Fig.8.과 같이 전체 영역의 5.2% 정도가 변경되는 것을 실험을 통해 확인하였다.
우선 물리적 추출 방법인 JTAG 핀 연결을 통해 데이터 파티션 2GB를 추출한 결과, 시간은 1시간 53분 정도가 소요되었고 이미지 전체 해시 값은 ‘F9394A20EF843EA704F9A48222F8E861’이었다.
첫 번째, DFU 모드에서 램디스크 부트스트랩 방식으로 부팅 전 커널 패치를 통한 루트 권한 획득방법으로 데이터 파티션 13.5GB를 추출한 결과, 시간은 평균 1시간 18분 정도 소요되었다. 이 과정을 5번 반복 수행하여 이미지를 추출하였을 경우 Table 7.

후속연구

향후 각 제조사 및 모델별 다양한 스마트 기기를 대상으로 데이터의 훼손을 최소화하면서 획득할 수 있는 추가적인 연구가 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	물리적 추출 방법으로 어떻게 동일한 사본을 얻을 수 있나?	물리적 추출 방법에는 기기의 플래시 메모리를 분리하여 메모리 리더기를 통해 데이터를 추출하는 Chip-off 방식과 JTAG 핀을 연결하여 에뮬레이터를 통해 메모리를 읽는 명령을 전송함으로써 기기의 저장매체를 복사하는 방식으로 완벽히 동일한 사본을 얻을 수 있다[10]. 이와 같이 물리적 추출 방법은 플래시 메모리 내에 존재하는 비할당 영역과 파일의 메타데이터 등을 포함한 모든 페이지 영역을 획득할 수 있는 장점을 가지고 있지만, 추출하는데 1Gb 당 1시간 정도의 많은 시간이 소요되며 대부분 기기를 출시할 때 JTAG 핀을 차단하거나 해당 핀맵을 알아내기 어렵게 만들기 때문에 보편적으로 사용할 수는 없다.
	논리적 추출 방법에는 어떤 방법이 있는가?	논리적 추출 방법에는 애플리케이션 데이터 공유 인터페이스(Contents Provider)를 통해 연락처, 통화내역, SMS, MMS, 일정, 인터넷 접속기록 등을 레코드 단위로 추출하는 방법과 루트 권한을 획득한 후 파일 단위 또는 파티션 이미지를 추출하는 방법이 있다.
	루팅이 적용된 부트 이미지를 제작하는 방법 두 가지는 무엇인가?	완전 루팅은 루팅이 적용된 부트 이미지를 기기의 원본 부트 이미지와 교체함으로써 수행할 수 있으며, 루팅이 적용된 부트 이미지를 제작하는 방법은 크게 두 가지 방법으로 나뉠 수 있다. 첫 번째, 커널 영역에 ‘su’ 및 ‘busybox’ 바이너리, ‘Superuser.apk’ 등을 삽입하는 방법이다[12]. 하지만 이러한 방법은 시스템 파티션에 Superuser라는 애플리케이션이 설치되면서 사용자 데이터가 존재하는 데이터 파티션에 영향을 미친다. 두 번째, 부트 이미지 램디스크 영역의 코드(default.prop, init.rc 등)를 일부 수정함으로써 루트 권한을 획득할 수 있는 방법이다[6]. 수정된 부트 이미지는 Fig.

참고문헌 (17)

Matthew J. Decker, "Dispelling Common Myths of "Live Digital Forensics," Digital Forensics Certification Board, White Papers, Sep. 2011.
Jungheum Park, "Forensic analysis techniques for fragmented flash memory pages in smartphones," Digital Investigation 9, pp. 109-118, 2012

상세보기
Andrew Hoog, "Android Forensics," Mobile Forensics World 2009, May. 2009
Andrew Hoog, "Android Forensics: Investigation, Analysis and Mobile Security for Google Android," Elsevier, June, 2011
Jeff Lessard, "Android Forensics : Simplifying Cell Phone Examinations," Small Scale Digital Device Forensics Journal, Vol. 4, No. 1, pp.1-12, Sep. 2010
Timothy Vidas, "Toward a general collection methodology for Android devices," Digital Investigation 8, Supplement, pp.14-24, 2011

상세보기
S. Chen and C. Yang, "Design and Implementation of Live SD Acquisition Tool in Android Smart Phone," Fifth International Conference on Genetic and Evolutionary Computing, pp.157-162,Sep. 2011
Mona Bader, "iPhone 3GS Forensics: Logical analysis using Apple iTunes Backup Utility," Small Scale Digital Device Forensic Journal Vol. 4, No.1, Sep. 2010
Jonathan Zdziarski, "iPhone Forensics," O'Reilly Media, Sebastopol, Sep. 2008
K. Kim, D. Hong, and J. Ryu, "Forensic Data Acquisition from Cell Phones using JTAG Interface," in Proc. Security and Management, pp.410-414, 2008
Junghoon Oh, "A Study for Android Smartphone Forensic Analysis," Master's Thesis of Graduate School of Information Security, Korea University, 2011
Android Developers Community, "http://forum.xda-developers.com"
Fastboot, http://en.wikipedia.org/wiki/Android_software_development#Fastboot
redsn0w, "http://blog.iphone-dev.org/tagged/redsn0w"
Absinthe, "http://absinthejailbreak.com/about-absinthe-jailbreak/"
evasi0n, "http://www.evasi0n.com/"
Cydia, "http://en.wikipedia.org/wiki/Cydia"

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증