[논문]윈도우 환경에서 카카오톡 데이터 복호화 및 아티팩트 분석 연구

조민욱; 장남수

doi:10.13089/jkiisc.2023.33.1.51

윈도우 환경에서 카카오톡 데이터 복호화 및 아티팩트 분석 연구
Study on The Data Decryption and Artifacts Analysis of KakaoTalk in Windows Environment 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.33 no.1, 2023년, pp.51 - 61

조민욱 (세종사이버대학교) , 장남수 (세종사이버대학교)

초록
AI-Helper

카카오톡, 라인, 페이스북 메신저 등과 같은 메신저는 누구나 사용하는 범용적인 의사소통 수단이다. 사용자들에게 제공되는 편의 기능과 사용 시간이 증가할수록 아티팩트 안에 남게 되는 사용자의 행위 정보 또한 증가하고 있으며, 이는 디지털 포렌식 수사 관점에서 중요한 증거로 활용되고 있다. 그러나 보안상의 이유로 현재 대부분의 데이터는 암호화되어 저장되고 있다. 또한, 의도적인 조작, 은닉, 삭제 등의 은폐 행위가 증가하여 디지털 포렌식 분석 시간이 지연되는 문제를 야기하고 있다. 본 논문에서는 국내에서 가장 많은 사용자를 가진 메신저인 카카오톡에 대해 Windows 환경에서 데이터 복호화 및 아티팩트 분석 방안에 관한 연구를 수행하였다. 효율적인 복호화 키 획득 방안, 삭제 시도한 메시지 식별 및 복호화 방안을 제시하고 썸네일 아티팩트를 분석한다.

Abstract ▼ AI-Helper

Messengers such as KakaoTalk, LINE, and Facebook Messenger are universal means of communication used by anyone. As the convenience functions provided to users and their usage time increase, so does the user behavior information remaining in the artifacts, which is being used as important evidence from the perspective of digital forensic investigation. However, for security reasons, most of the data is currently stored encrypted. In addition, cover-up behaviors such as intentional manipulation, concealment, and deletion are increasing, causing the problem of delaying digital forensic analysis time. In this paper, we conducted a study on the data decryption and artifacts analysis in a Windows environment for KakaoTalk, the messenger with the largest number of users in Korea. An efficient way of obtaining a decryption key and a method of identifying and decrypting messages attempted to be deleted are presented, and thumbnail artifacts are analyzed.

주제어

표/그림 (23)

그림 Fig. 1. Method for decrypting a chatLogs database
그림 Fig. 2. Method for generating key and iv for a chatLogs database
그림 Fig. 3. Method for generating a pragma
표 Table 1. Analysis environment and tools
그림 Fig. 4. Method for general brute force
그림 Fig. 5. Method for header-based brute force
그림 Fig. 6. Method for generating a user directory name
그림 Fig. 7. Method for brute force based on the user directory name
그림 Fig. 8. Message deletion option
그림 Fig. 9. Message deleted for me
그림 Fig. 10. Message deleted for everyone
그림 Fig. 11. Method for decrypting a message that attempted to delete
표 Table 2. Time required for brute force by the algorithm
표 Table 3. Comparison of requirements with commercial forensics tools
그림 Fig. 12. Method for decrypting a thumbnail
표 Table 4. Types of thumbnails saved by directory
그림 Fig. 14. Photo type message (attachement column)
그림 Fig. 15. Video type message (attachement column)
그림 Fig. 13. Media type message
그림 Fig. 16. Method for generating a thumbnail file name
표 Table 5. Thumbnail changes by user behavior
그림 Fig. 17. tokenInfo table
표 Table 5. Continued

AI 본문요약
AI-Helper

문제 정의

본 논문에서는 Windows 환경의 카카오톡에서 데이터 복호화 및 아티팩트 분석 방안에 관한 연구를 수행하였다. 복호화 시 사용되는 입력 파라미터인 userId를 빠르게 획득할 수 있는 효율적인 전수조사 방안을 제시하여 영장청구 제한시간 내에 분석을 위한 충분한 시간을 확보할 수 있도록 하였다.
본 논문에서는 국내에서 가장 많은 사용자를 가진 메신저인 카카오톡에 대해 Windows 환경에서 데이터 복호화 및 아티팩트 분석 방안에 관한 연구를 수행하였다. 카카오톡 사용 중 생성되는 각종 암호화된 데이터를 복호화하는데 필요한 입력 파라미터인 userId를 빠르게 획득할 수 있는 전수조사 방안, 메시지 삭제 시도 여부를 식별하고 모든 대화 상대에게서 삭제 시도한 메시지를 복호화하는 방안을 제시하고 썸네일 아티팩트 및 사용자 행위에 따른 썸네일의 변화를 분석하였다.
본 논문은 Windows 환경의 카카오톡에서 데이터 복호화 및 아티팩트 분석 방안에 관한 연구를 수행하였다. 카카오톡 내에서 이루어지는 각종 암호화 및 복호화 과정을 분석하기 위해 정적 분석에는 IDA를 사용하였으며, 동적 분석에는 x64dbg와 Cheat Engine을 각각 디버깅과 메모리 스캔에 사용하였다.

가설 설정

반면, Fig. 2.의 입력 파라미터 중 userId는 카카오톡 회원가입 시 사용자별로 부여되는 시퀀스로 기기 내에서 획득할 수 없는 정보이다. 따라서 userId를 획득하기 위한 효율적인 전수조사 방안에 관한 연구가 필요하다.

제안 방법

대화 기록 데이터베이스를 기반으로 특정 메시지에 대한 썸네일을 식별하는 방안을 제시한다. 마지막으로 사용자 행위에 따른 썸네일의 변화를 분석하고 사용자 기기 내 저장된 원본 미디어 파일의 경로를 식별하는 방안을 제시한다.
최근 불법 성적 촬영물 및 아동·청소년 성 착취물에 대한 소지, 시청 죄가 신설된 바 있다. 이러한 각종 행위를 입증할 수 있도록 대화방에서 일어나는 사용자 행위에 따른 썸네일의 변화를 전송, 열람, 삭제 행위 관점에서 분석하였다. 이때, “/chat_data/cli”, “/chat_data/cli/thumbnail” 디렉토리에서 썸네일의 변화를 관찰할 수 있었으며, 이를 정리하면 Table 5.
본 논문에서는 국내에서 가장 많은 사용자를 가진 메신저인 카카오톡에 대해 Windows 환경에서 데이터 복호화 및 아티팩트 분석 방안에 관한 연구를 수행하였다. 카카오톡 사용 중 생성되는 각종 암호화된 데이터를 복호화하는데 필요한 입력 파라미터인 userId를 빠르게 획득할 수 있는 전수조사 방안, 메시지 삭제 시도 여부를 식별하고 모든 대화 상대에게서 삭제 시도한 메시지를 복호화하는 방안을 제시하고 썸네일 아티팩트 및 사용자 행위에 따른 썸네일의 변화를 분석하였다.
pragma 생성 방안은 다음과 같다. 하드 코딩된 바이트 배열을 key로 하여, UUID와 ModelName, SerialNumber를 연접한 결과에 대해 AES 암호화를 수행한다. 위 결과에 대해 SHA512 해싱 수행 후 Base64 인코딩을 수행하면 pragma가 생성된다.

대상 데이터

카카오톡 내에서 이루어지는 각종 암호화 및 복호화 과정을 분석하기 위해 정적 분석에는 IDA를 사용하였으며, 동적 분석에는 x64dbg와 Cheat Engine을 각각 디버깅과 메모리 스캔에 사용하였다. Java 및 IntelliJ IDEA를 복호화 실험에 사용하였으며, DB Browser for SQLite를 복호화한 데이터베이스 조회에 사용하였다. HxD Hex Editor를 각종 아티팩트의 데이터를 확인하기 위한 16진수 편집기로 사용하였다.

데이터처리

본 논문은 Windows 환경의 카카오톡에서 데이터 복호화 및 아티팩트 분석 방안에 관한 연구를 수행하였다. 카카오톡 내에서 이루어지는 각종 암호화 및 복호화 과정을 분석하기 위해 정적 분석에는 IDA를 사용하였으며, 동적 분석에는 x64dbg와 Cheat Engine을 각각 디버깅과 메모리 스캔에 사용하였다. Java 및 IntelliJ IDEA를 복호화 실험에 사용하였으며, DB Browser for SQLite를 복호화한 데이터베이스 조회에 사용하였다.

성능/효과

본 논문에서는 Windows 환경의 카카오톡에서 데이터 복호화 및 아티팩트 분석 방안에 관한 연구를 수행하였다. 복호화 시 사용되는 입력 파라미터인 userId를 빠르게 획득할 수 있는 효율적인 전수조사 방안을 제시하여 영장청구 제한시간 내에 분석을 위한 충분한 시간을 확보할 수 있도록 하였다. 메시지 삭제 시도 여부를 식별하고 모든 대화 상대에게서 삭제 시도한 메시지 복호화에 성공하여 용의자의 의도적인 안티 포렌식 행위에 대응할 수 있도록 하였다.
제안하는 방안에서는 File I/O와 데이터베이스 연결 및 쿼리 실행이 생략되며, 사용되는 모든 key, iv 쌍이 userId와 무관하여 AES 키 스케쥴을 반복 사용할 수 있다. 또한 반복하여 암호화하는 문자열은 최초 1회만 암호화하도록 하여 효율성을 증대시켰다.

후속연구

썸네일은 저장 시 파일명과 내용을 모두 암호화하여 “cng” 확장자로 저장하기 때문에 내용을 확인하기 위해서는 복호화 방안에 관한 연구가 필요하다

참고문헌 (12)

Min-Dong Kim, Hyeon-Jin Lee, Sung Jin Lee, Yeon-Ju Lee, and Gi-BumKim, "A Study on the Permissibility of？Search and Seizure of Mobile Messenger Data Using a USIM,"？Journal of The Korea Institute of？Information Security & Cryptology,31(2), pp. 197-209, Apr. 2021.
Jaewon Choi and Seung-joo Kim, "A Study on Mobile Forensic Data Acquisition Method Basedon Manufacturer's Backup Mobile App,"？Journal of The Korea Institute of？Information Security &Cryptology,28(1), pp. 95-110, Feb. 2018.
Yeong-Woong Kim, Gi-BumKim, Ji-Hun Son, Yu-Ri Son, andSung-Hyun Park, "Control Measures for Smartphone Forensics Using Fingerprint Information," Journal of？Korean Public Police and Security Studies, 16(1), pp. 73-92, May. 2019.
Jusop Choi, Jaegwan Yu, Sangwon Hyun, and Hyoungshick Kim, "Digital？forensic analysis of encrypted database files in instant messaging applications on Windows operating systems: Case study with KakaoTalk, NateOn and QQ messenger," Digital？Investigation, vol. 28, pp. S50-S59,Apr. 2019.
Gyu-Won Lee, Seung-Jei Yang,？Hyun-Uk Hwang, Kibom Kim, Taejoo？Chang, and Ki-Wook Sohn, "A？Recovery Scheme for the Deleted？Overflow Data in SQLite Database,"？The Journal of Korean Institute of？Information Technology, 10(11), pp.？143-153, Nov. 2012.
Taejin Hwang, Dongho Won, and？Youngsook Lee, "A study on the？Comparison Analysis for Messenger？Evidence Using Mobile Forensics,"？Convergence Security Journal, 18(2),？pp. 25-32, Jun. 2018.
Byungchan Jung, Jaehyeok Han,？Hoyong Choi, and Sangjin Lee, "A？Study on the Possibility of Recovering？Deleted Data through Analysis of？SQLite Journal in Messenger？Application," Journal of Digital？Forensics, 12(2), pp. 11-20, Sep.？2018.
Gu-Min Kang and Seung-Kyu Kim, "A？Study on the Mobile Forensic Method？in the Case of Industrial Technology？Leakage Using Smartphone," Korean？Journal of Industrial Security, 10(2),？pp. 7-35, Sep. 2020.
Seung-Kyu Kim, Mu-Seok Kim, and Gu-Min Kang, "A Study on the Development of Mobile Forensic Tool？for the Response to Hidden Camera Crime," Journal of Digital Forensics, 14(3), pp. 290-304, Sep. 2020.
Ji Su Lee, Yeon Ju Lee, and Gi Bum Kim, "A Study on the Digital Forensic of Viewing Digital Sexual Exploitation Material in Mobile Messenger," The Journal of Police Science, 20(4), pp.227-253, Dec. 2020.
Seunghee Seo, Yeog Kim, and Changhoon Lee, "Instagram Users Behavior Analysis in a Digital？Forensic Perspective," Journal of The Korea Institute of Information Security & Cryptology, 28(2), pp.407-416, Apr. 2018.

원문보기 상세보기
Daeho Yun and Sang Jin Lee, "Study for Android Smartphone's Gallery Thumbnail Forensic Analysis," KIPS Transactions on Computer and Communication Systems, 6(1), pp.31-42, Jan. 2017.

원문보기 상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증