MOBILE FORENSICS

스마트폰 포렌식의 새로운 접근법

Magnet ACQUIRE는 Apple과 Google이 iOS 및 Android에 추가하는 보안 기능 및 암호화로 인한
포렌식 제약 사항을 해결하기 위해 스마트폰 증거 데이터 수집에 대한 새로운 접근 방식을 제공합니다.

  • 사용 중인 디지털 포렌식 도구와 상관 없이 스마트폰 증거 데이터를 수집할 수 있는 범위가 점점 좁아지고 있습니다.

  • 스마트폰에서 실제로 추출할 수 있는 콘텐츠나 데이터 범위가 좁아지고 있습니다.

  • 디스크 / 데이터 암호화로 인해 수집하는 증거 데이터의 의미가 없어지고 있습니다.

MAGNET AXIOM과 연계하여 증거 분석을 수행할 수 있습니다.

Magnet ACQUIRE로 추출한 스마트폰 증거 데이터는 Magnet AXIOM 또는
기타 모바일 포렌식 도구를 통해 분석 할 수 있습니다.

상황에 가장 잘 맞는 데이터 추출 방법을 직접 선택하실 수 있습니다.

Magnet ACQUIRE는 스마트폰을 위한 두 가지 추출 방법 중 하나를 선택 할 수 있습니다.

빠른 추출(Quick Extraction)

Quick Extraction은 일반화 된 OS 백업 프로세스를 사용하여 모든 iOS 또는 Android 스마트폰의 논리적 데이터를
빠르고 안정적으로 수집합니다. Quick Extraction은 단일 추출 프로세스에서 두 가지 획득 방법을 동시에 조합해서
사용하여 많은 데이터 및 콘텐츠를 추출하며 하나의 논리 이미지로 생성합니다. 해당 방법을 통해 생성 된 논리 이미지는
실제 논리 이미지와 동일하지 않지만 실제 논리 이미지보다 훨씬 더 많은 증거 데이터를 추출합니다.

지원되는 운영체제

OS IMAGE ACQUISITION METHODS EVIDENCE
ANDROID
V2.1 TO 3.2.6
LOGICAL Android Debug Bridge
(ADB) Pull Command
Contents of any external storage device (i.e. SD card)
Agent Application Call Logs, SMS/MMS, Browser History and user dictionary
ANDROID 4+ LOGICAL ADB Backup 3rd party application user data
Some native device data including:
SMS/MMS, calendar, call logs, BT devices,
WiFi hot spots, user accounts, user dictionary
Contents of any external storage (i.e. SD Card)
Agent Application Browser History
IOS
V5 TO 10+
LOGICAL iTunes Backup Process 3rd party application user data
Some native device data including:
SMS/MMS & iMessage, calendar and call logs
Apple File Conduit
(Below 8.3)
Camera pictures, ringtones, and iTunes books
File Relay
(Below 8)
Some native device data including: complete Photo album, SMS/MMS & iMessage, address book, typing cache, geolocation cache, application screenshots, WiFi hot spots, voicemail and native email metadata

전체 추출(Full Extraction)

Magnet ACQUIRE의 전체 추출 기능을 이용하면 스마트폰 내 대부분의 증거 데이터를 추출해낼 수 있습니다.

지원되는 운영체제

OS IMAGE ACQUISITION METHODS EVIDENCE
ANDROID
V2.1 - 4
PHYSICAL Linux DD
Command
Magnet Acquire will root select Android devices running Android v 2.1 to 5.0. Recover a full physical image of the device’s flash memory. Evidence collected will include all files, folders, user data, native data and unallocated space.
IOS
V5 TO 10+
LOGICAL Apple File Conduit 2 For jailbroken iOS devices Magnet Acquire will recover a full logical file system dump which includes all of the files, folders, user data and native data.