일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 |
- 마감임박
- 백엔드
- 덧셈 암호
- 포너블
- 개인정보보호
- 유클리드_알고리즘
- node.js
- Writeup
- arrow function
- 백엔드입문
- 모듈러 연산
- 호이스팅
- 가명정보처리
- 한국정보보호산업협회기자단
- 무료교육
- 곱셈 암호
- pwnable.tw
- 한국정보보호산업협회
- 확장 유클리드 알고리즘
- 개인정보보호위원회
- package-lock.json
- function scope
- 국가인적자원개발컨소시엄
- 웹 프레임워크
- package.json
- 동적타이핑
- 디오판투스 알고리즘
- 개인정보보호교육
- 한국산업인력공단
- 개인정보안전성
- Today
- Total
짱짱해커가 되고 싶은 나
08. 휴대기기 포렌식 본문
휴대폰을 키면 자동으로 가장 가까이에 있는 셀 사이트를 검색하여 통신한다.
* 셀룰러 네트워크 : 여러 개의 각기 다른 크기와 모양의 셀로 구성되어 있다.
- 기지국 : 안테나와 같은 장비로 구성
- 기지국 제어기(BSC) : 기지국 사이의 신호 조절 ex)휴대폰의 위치 이동 시
- 기지국 교환센터(MSC) : 네트워크 안에서 발생한 통화 처리 (*증거 파티)
- 방문자 위치 등록기(VLR) : MSC에 연결되어 있는 DB ex) 방문자 위치
ex) 전화를 걸면 MSC -> PSTN -> 통화 연결
각 셀은 다음과 같은 특징을 갖고 있다.
- 사전에 정해진 주파수 범위를 사용해 특정 지역에 서비스를 제공
- 셀 사이트 = 기지국(+안테나, 관련 장비 존재) o
셀 사이트는 각 셀이 네트워크에 연결될 수 있도록 한다.
일반적으로 각 셀 타워는 측면마다 3개의 패널이 부착되어 있고 가운데에 있는 패널은 송신기, 나머지는 수신기(지속적으로 라디오 신호 탐지)로 사용한다.
셀 사이트는 여러 셀의 교차로에 위치하여 하나의 셀에서 다른 셀로 이동하기 쉽도록 한다. (중앙x)
셀룰러 네트워크의 종류는 다음과 같다.
- CDMA - 코드분할 다중접속
CDMA 휴대폰은 일반적으로 SIM카드를 사용하지 않으며 장치일련번호로 휴대폰을 식별한다.
- GSM(세계 무선 통신 시스템) - 시분할 다중접속
GSM 휴대폰은 SIM 카드를 사용하고 국제이동단말기번호(IMEI)로 휴대폰을 식별한다.
- IDEN(통합 디지털 확장 네트워크)
양방향 라디오 같은 기능, SIM 카드 사용
* 인터네트워크 기능 : 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할
* 홈 위치 등록기(HR) : 가입자의 정보 수집 ex)가입자 식별 정보, 휴대폰 요금 청구, 현재 위치, 암호화 키 저장, AuC(인증 센터) 지원, 네트워크로의 접근 제어
* AuC : 연결을 조사해서 승인되지 않은 사용자 차단
* 단문 메시지 서비스 센터(SMSC) : 문자 메시지 수집
* 단문 메시지 서비스(SMS) : 메시지 길이 제한(160지)
* 멀티미디어 메시지 서비스(MMS) : 메시지 길이 제한x
* 핸드오프(handoff) : 셀 타워(네트워크)의 이전
신호의 강도가 약해지기 시작하면 발생한다. 시스템마다 핸드오프의 처리 방식은 다르다.
- GSM 네트워크 : 하드 핸드오프(한 번에 하나의 타워에 접속)
- CDMA: 소프트 핸드오프(여러 개의 타워에 동시 접속 가능 中 가장 센 신호의 타워 사용)
* 선불 휴대폰
일반 휴대폰과 동일한 방식으로 작동하지만 휴대폰의 사용자를 식별하기 어렵다.
why? 현금으로만 지불하기 때문에 누가 구매했는지 알기 어려움
그래도 정보는 알 수 있다. (휴대폰 제공자 - 가입자 정보, 네트워크 제공자 - 통화내역기록)
* 휴대폰 운영체제
- 심비안
- 블랙베리 : 다양한 응용 프로그램, 멀티 태스킹 지원, 통신 업체마다 버전이 다름
- 안드로이드
- iOS : Mac OS X 기반
- 윈도우
* 휴대폰 증거
- PIN(개인 식별 번호)
: 휴대폰의 보안을 강화하는데 사용되며 3번 연속 틀리면 잠금 상태가 된다. 잠금 해지를 위해서는 PUK(8자리)가 필요하며 일반적으로 PUK는 SIM 카드 제공자만이 지급할 수 있다. PUK는 10번의 횟수 제한이 있는데 실패했을 경우 PUK로의 접근을 영구적으로 차단한다.
- 단어 예측 데이터베이스
: 단어 예측은 데이터베이스 사전을 기반으로 하는데 시스템은 학습이 가능하다. 따라서 사용자가 정기적으로 입력한 단어는 데이터베이스에 들어있을 수 있다.
- 통화내역기록(CDR)
: 통신업체가 문제를 해결하고 네트워크의 성능을 개선하기 위해 사용한다.
단, 누가 실제로 통화했는지는 알 수 없다. (!= 가입자 정보, != 사용자 기록(유선전화정보))
- 음성메시지
: 통신업체로부터 비밀번호 재설정 코드가 필요하다.
- SIM 카드
: 국제 이동가입자 식별자(ISMI) - 가입자의 계정 정보와 서비스 식별 용으로 사용
통합 회로 카드 식별자(ICC-IC) - SIM 카드 자체의 시리얼 번호
+ 휴대폰 위치 파악 방법
- 삼각 측량(triangulation) : 3개의 타워로부터 휴대폰과의 거리를 측정하여 대략적인 위치 파악, 거리는 3개의 타워로부터 신호를 보낼 때 지연되는 시간을 바탕으로 계산
- 방향 안테나 : 2개의 타워를 이용해서 거리 계산
- GPS : 위도,경도 파악
* 휴대폰 증거 수집
- 물리적 방법
물리적 저장매체에 있는 모든 데이터를 캡체하고 클로닝한다. (삭제된 정보도 캡처 가능)
- 논리적 방법
삭제된 데이터는 가져오지 못하고 파일과 폴더만 캡처한다.
- 툴
휴대폰의 하드웨어와 소프트웨어 사이에 데이터 교류가 반드시 있어야 하기 때문에 쓰기 차단 기기 사용x
툴마다 수집되는 정보는 다르다.
- 수동
* 휴대폰 증거 처리
- 네트워크로부터 고립 ex)페러데이 봉투, 캔
- 방전 예방
휴대폰이 꺼져 있을 경우 전지를 꺼내고 SIM 카드에 표시한 뒤 사진을 찍는다. (특히 전지 밑에 있는 번호)
* 네비게이션
한 시점에서 27개의 인공위성만을 사용, 나머지는 인공위성이 작동하지 않을 때를 대비하여 백업으로 되어 있다.
- 심플 : 사용자가 한 장소에서 다른 장소로 이동하는데 도움
트랙포인트, 웨이포인트, 트랙로그를 저장
- 스마트
: 자동차, USB 대용량 저장장치로 구성
- 하이브리드
: 스마트 기기에 있는 기능 +a, 블루투스로 휴대폰 연결 가능(휴대폰의 mac주소, 문자 메시지 등)
- 네트워크
: 하이브리드에 있는 기능 +a, 구글 검색, 교통 정보 등 실시간 정보 가능 (별도 가입 필요)
* 네비게이션 데이터
- 시스템 데이터: 트랙프인트, 트랙 로그 등 제공
트랙포인트: 해당 기기가 있었던 위치에 대한 기록(자동 생성, 사용자가 수정 불가)
트랙로그: 모든 트랙포인트의 포괄적 목록(사용자가 경로를 되돌아가는데 도움용)
- 사용자 데이터 : 웨이포인트 등 제공
웨이포인트: 사용자가 가려 했던 곳(!= 실제로 갔다)
'forensic' 카테고리의 다른 글
07. 네트워크 포렌식 (0) | 2021.02.17 |
---|---|
[Suninatas] 30 writeup (0) | 2021.02.17 |
[one_data_one_zip] writeup (0) | 2021.02.12 |
[board] writeup (0) | 2021.02.12 |
[Timisoara CTF 2019 Quals] Tri-color QR writeup (0) | 2021.02.12 |