KIPS Tr. Comp. and Comm. Sys. Vol.5, No.7 pp.173~180 pissn: ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 173

Similar documents
디지털포렌식학회 논문양식

PowerPoint Presentation

DBPIA-NURIMEDIA

디지털포렌식학회 논문양식

PowerPoint Presentation

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

04서종철fig.6(121~131)ok

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

160322_ADOP 상품 소개서_1.0

±èÇö¿í Ãâ·Â

04_이근원_21~27.hwp

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면,

System Recovery 사용자 매뉴얼

°í¼®ÁÖ Ãâ·Â

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

Mstage.PDF

(JBE Vol. 21, No. 1, January 2016) (Regular Paper) 21 1, (JBE Vol. 21, No. 1, January 2016) ISSN 228

DocsPin_Korean.pages

14 경영관리연구 제6권 제1호 ( ) Ⅰ. 서론 2013년 1월 11일 미국의 유명한 경영전문 월간지 패스트 컴퍼니 가 2013년 글로벌 혁신 기업 50 을 발표했다. 가장 눈에 띄는 것은 2년 연속 혁신기업 1위를 차지했던 애플의 추락 이었다. 음성 인식

인문사회과학기술융합학회

06_ÀÌÀçÈÆ¿Ü0926

DBPIA-NURIMEDIA

iOS5_1±³

Microsoft PowerPoint - XP Style

<332EC0E5B3B2B0E62E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

20(53?)_???_O2O(Online to Offline)??? ???? ??.hwp

PowerPoint 프레젠테이션

DBPIA-NURIMEDIA

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CC0E7B0EDB0FCB8AE5C53746F636B5F4D616E D656E74732E637070>

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI: : Researc

thesis

Microsoft PowerPoint - CoolMessenger_제안서_라이트_200508

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 28(3),


산업백서2010표지

MasoJava4_Dongbin.PDF

09권오설_ok.hwp

Tablespace On-Offline 테이블스페이스 온라인/오프라인

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

#Ȳ¿ë¼®

Dropbox Forensics

rmi_박준용_final.PDF

Office 365 사용자 가이드

스마트폰 애플리케이션 시장 동향 및 전망 그림 1. 스마트폰 플랫폼 빅6 스마트폰들이 출시되기 시작하여 현재는 팜의 웹OS를 탑재한 스마트폰을 제외하고는 모두 국내 시장에도 출 시된 상황이다. 이들 스마트폰 플랫폼이 처해있는 상황 과 애플리케이션 시장에 대해 살펴보자.

08SW

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: * A Research Trend

이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33% 예상) 3. 삼성의 스마트폰 OS 바다는 과연 성공할 수 있을까? 지금부터 기업들이 관심 가져야 할 질문들 1. 스마트폰은

30이지은.hwp

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: * A S

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

Microsoft PowerPoint - 6.pptx


The Pocket Guide to TCP/IP Sockets: C Version

PowerPoint Template

Special Theme _ 모바일웹과 스마트폰 본 고에서는 모바일웹에서의 단말 API인 W3C DAP (Device API and Policy) 의 표준 개발 현황에 대해서 살펴보고 관 련하여 개발 중인 사례를 통하여 이해를 돕고자 한다. 2. 웹 애플리케이션과 네이

침입방지솔루션도입검토보고서

The Self-Managing Database : Automatic Health Monitoring and Alerting

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

- 2 -

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

1. 서론 1-1 연구 배경과 목적 1-2 연구 방법과 범위 2. 클라우드 게임 서비스 2-1 클라우드 게임 서비스의 정의 2-2 클라우드 게임 서비스의 특징 2-3 클라우드 게임 서비스의 시장 현황 2-4 클라우드 게임 서비스 사례 연구 2-5 클라우드 게임 서비스에

Journal of Educational Innovation Research 2017, Vol. 27, No. 1, pp DOI: * The

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

<BEF0B7D0C1DFC0E B3E220BABDC8A32E706466>

이용석 박환용 - 베이비부머의 특성에 따른 주택유형 선택 변화 연구.hwp

ETL_project_best_practice1.ppt

Slide 1

슬라이드 1

<B4EBC7D1BAF1B8B8C7D0C8B8C3DFB0E8C7D0BCFABFACBCF62D C1F8C2A520C3D6C1BE292E687770>

2009년 국제법평론회 동계학술대회 일정

Mango220 Android How to compile and Transfer image to Target

HTML5가 웹 환경에 미치는 영향 고 있어 웹 플랫폼 환경과는 차이가 있다. HTML5는 기존 HTML 기반 웹 브라우저와의 호환성을 유지하면서도, 구조적인 마크업(mark-up) 및 편리한 웹 폼(web form) 기능을 제공하고, 리치웹 애플리케이 션(RIA)을

8-VSB (Vestigial Sideband Modulation)., (Carrier Phase Offset, CPO) (Timing Frequency Offset),. VSB, 8-PAM(pulse amplitude modulation,, ) DC 1.25V, [2

?

¨ìÃÊÁ¡2

F120S_(Rev1.0)_1130.indd

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

슬라이드 1

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -

< BFCFB7E15FC7D1B1B9C1A4BAB8B9FDC7D0C8B85F31352D31BCF6C1A4C8AEC0CE2E687770>

비지니스 이슈(3호)


<30312DC1A4BAB8C5EBBDC5C7E0C1A4B9D7C1A4C3A52DC1A4BFB5C3B62E687770>

<3136C1FD31C8A35FC3D6BCBAC8A3BFDC5F706466BAAFC8AFBFE4C3BB2E687770>

UPMLOPEKAUWE.hwp

정보기술응용학회 발표

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

LG-LU6200_ICS_UG_V1.0_ indd

슬라이드 1

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월

歯1.PDF

untitled

Transcription:

KIPS Tr. Comp. and Comm. Sys. Vol.5, No.7 pp.173~180 pissn: 2287-5891 ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 173 http://dx.doi.org/10.3745/ktccs.2016.5.7.173 A Study on the Evidence Investigation of Forged/Modulated Time-Stamp at ios(iphone, ipad) Sanghyun Lee Yunho Lee Sangjin Lee ABSTRACT Since smartphones possess a variety of user information, we can derive useful data related to the case from app data analysis in the digital forensic perspective. However, it requires an appropriate forensic measure as smartphone has the property of high mobility and high possibility of data loss, forgery, and modulation. Especially the forged/modulated time-stamp impairs the credibility of digital proof and results in the perplexity during the timeline analysis. This paper provides traces of usage which could investigate whether the time-stamp has been forged/modulated or not within the range of ios based devices. Keywords : ios Forensic, Forged Time-Stamp, Modulated Time-Stamp, iphone Forensic, Digital Forensic ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 이상현 이윤호 이상진 요 약 스마트폰은다양한사용자정보를저장하고있으므로, 디지털포렌식관점에서앱데이터분석을통해사건과관련된유용한정보를얻을수있다. 하지만스마트폰의특성상높은이동성과데이터의손실이나위 변조가능성이크기때문에그에맞는포렌식방법이필요하다. 특히위 변조된타임스탬프는디지털증거의신뢰성을저하하며, 타임라인분석에어려움을가져온다. 이논문은 ios 운영체제를기반으로하는디바이스내에서타임스탬프위 변조여부를조사할수있는사용흔적들을제시한다. 키워드 : ios 포렌식, 타임스탬프위조, 타임스탬프변조, 아이폰포렌식, 디지털포렌식 1. 서론 1) 현재세계적으로많은종류의스마트폰운영체제가상용화되고있으며, 그중 Android와 ios의 2014년시장점유율은약 96% 였으며, 2013년보다 2.5% 상승한수치였다 [1]. 그리고국내스마트폰가입자수는 2014년 11월기준 4천만명을돌파한만큼 1인당 1대의스마트폰을보유할정도로보급되었다 [2]. 스마트폰에는다양한사용자정보가생성되고저장된다. 따라서디지털포렌식관점에서스마트폰콘텐츠분석을통해사건과관련된유용한정보를얻을수있다. 특히범죄 준회원 : 고려대학교정보보호대학원정보보호학과석사과정 비회원 : 고려대학교정보보호대학원정보보호학과박사과정 종신회원 : 고려대학교정보보호대학원교수 Manuscript Received : April 11, 2016 First Revision : June 27, 2016 Accepted : June 30, 2016 * Corresponding Author : Sangjin Lee(sangjin@korea.ac.kr) 현장에서스마트폰을획득한경우많은정보를얻을수있는이점이존재하기때문에, 모바일포렌식의비중은증가하고있다. 스마트폰사용자들은스마트폰을통해전화통화및문자메시지를이용할뿐만아니라, 다양한콘텐츠를이용해활동하며그에따른기록들은스마트폰에저장된다. 하지만스마트폰의특성상높은이동성과데이터의손실이나위 변조가능성이크기때문에그에맞는포렌식방법이필요하다. 특히위 변조된타임스탬프는디지털증거의신뢰성을저하하며, 타임라인분석에어려움을가져온다. 그러므로이러한스마트폰의특성에맞는포렌식방법이필요하다. 본논문에서는 ios 운영체제를기반으로하는디바이스내에서추출된증거들을기준으로타임스탬프위 변조흔적조사에관한연구를진행하였다. Table 1과같이주요사용자정보에대한타임스탬프위 변조의가능성을언급하고, 타임스탬프가위 변조된데이터를통해타임스탬프위 변조분석방법에대하여언급하면서탈옥 (Jailbreak) 된기

174 정보처리학회논문지 / 컴퓨터및통신시스템제 5 권제 7 호 (2016. 7) Name Domain - Path Data Address Book Call History SMS Photos Safari History Note Table 1. ios backup user data and Stored data HomeDomain-Library/AddressBook/AddressBook.sqlitedb SHA1 : cd6702cea29fe89cf280a76794405adb17f9a0ee HomeDomain-Library/CallHistory/call_history.db SHA1 : 2b2b0084a1bc3a5ac8c27afdf14afb42c61a19ca HomeDomain-Library/SMS/sms.db SHA1 : 3d0d7e5fb2ce288813306e4d4636395e047a3d28 CameraRollDomain-Media/PhotoData/Photos.sqlite SHA1 : 12b144c0bd44f2b3dffd9186d3f9c05b917cee25 AppDomain-Library/Safari/History.plist SHA1 : ed50eadf14505ef0b433e0c4a380526ad6656d3a HomeDomain-Library/Notes/notes.sqlite SHA1 : ca3bc056d4da0bbf88b5fb3be254f3b7147e639c Name, Phone Number etc. Caller, Callee, Time etc. Contents, Time etc. Photo, Video information Visited URL, Searching keyword etc. Note Content 기와순정기기를가지고 2가지환경에서타임스탬프위 변조흔적에대한조사를진행하였다. 탈옥은 ios의샌드박스제한을풀어타회사에서사용하는서명되지않은코드를실행할수있게하는과정을말한다. 일반적으로탈옥하는이유는애플과앱스토어가막아놓은콘텐츠에접근하기위해서이다. 또한, 사용자들은탈옥함으로써앱스토어를이용하지않고애플리케이션을이용할수있으며, 사용자가직접제작한앱이나인터페이스를사용할수있다 [3]. 하지만포렌식관점에서는기본적으로백업기능을통해얻을수있는정보이외에추가적인정보를얻을수있으므로탈옥을수행한다 [4]. 실제수사기관에서도기본인정보이외에탈옥을통해서추가적인정보를얻는경우가많으며, 해당하는사안의중대성에따라수사기관은탈옥의여부를결정하여정보수집및분석을진행한다. 2. 연구배경 2.1 관련연구모바일포렌식분야에서타임스탬프분석에관한논문은 2014년 M. Kaart와 S. Laraghy가 Android 운영체제기반디바이스를대상으로추출된증거들에대한분석방법을제시하였다 [5]. 2010년 S. Morrissey 는 ios 포렌식분석에관한책을발간하였지만, 타임스탬프분석에관한부분은언급하지않았으며, G. Horsman의경우교통사고분석시 ios의 Current Powerlog를통해운전자의행위분석방법에대하여제시하였다 [6, 7]. 국내에서도모바일포렌식에관한연구는지속하여왔지만 [8, 9], 앞서언급한타임스탬프위 변조분석에관한연구는미미한실정이다. 2.2 타임스탬프위 변조흔적조사의필요성디지털포렌식관점에서타임스탬프의위 변조흔적조사는다음의 2가지의이유로필요하다. 첫째, 사건은폐나위조의가능성이있으므로분석이필 요하다. 디지털증거의경우신뢰성이중요하다. 디지털증거의신뢰성은증거데이터의분석등처리과정에서디지털증거가위 변조되거나의도되지않은오류를포함하지않았다는것을의미한다. 만일디지털증거가위 변조되었다면, 디지털증거의신뢰성문제와수사과정에서혼선을일으킬수있으므로위 변조흔적조사가필요하다. 둘째, 타임라인분석에어려움을가져오기때문에분석이필요하다. 타임스탬프가위 변조된데이터로인하여특정시점의행위에대한추적이어려워지기때문에수사에혼선을줄수있다. 디지털데이터에서시간은범죄사실을규명하기위해매우중요한정보이다. 파일시스템상에저장되는파일의시간정보, 파일내부의메타데이터에저장되는시간정보등다양한곳에저장된시간정보를이용해타임라인을구성함으로써시스템사용자의행위를추적할수있으며, 저장된시간정보가연, 월, 일등으로분류되어가시적으로출력된다. 이러한기능을활용해서시스템이사용된시간대를알아내거나특정시점에서부터시스템사용자의행위를추적할수있다. 한편파일시스템에저장된시간과는별도로문서파일, 사진파일등은파일내부에고유한형식으로시간정보를저장하고있다. 파일자체에저장된시간정보는파일이복사, 이동, 수정되는과정에도변경되지않기때문에, 전문지식이없는경우에는조작이쉽지않다. 하지만모바일환경에서데이터의타임스탬프는간단한시간설정으로쉽게위 변조할수있다. 따라서조작여부를판단할수있는흔적에관한조사연구가필요하다. 3. ios 디바이스의시간조작실험및검증 ios 운영체제를기반으로하는디바이스내에서타임스탬프위 변조에대한흔적을조사하는방법에는크게 2가지가존재한다. 첫번째는아이튠즈의백업기능을이용하여분석하는방법이다. 아이튠즈를통해백업하면 ios 디바이스내의각종

ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 175 파일이사용자 PC로저장된다. 백업기능을통해사용자 PC 에저장된파일중 com.apple.timed.plist와 Menifest.mbdb를통해시간조작여부를확인한다. 여기서 com.apple.timed. plist는 ios디바이스의시간설정값이저장된파일이다. 해당파일의설정값에따라디바이스의시간설정방식을달리하며, 기본적으로시간을설정하는방식은서버로부터동기화하는방식으로이뤄진다. 또한, 기본적인방식외에사람에의해서디바이스의시간을조정할수있는기능을기본적으로제공한다. 인위적으로시간을조작하게되면최초설정파일의생성시간보다최종수정시간이달라질수밖에없다. 하지만백업된 com.apple.timed.plist파일은저장되어있는설정값만볼수있으므로, 백업된파일들에대한파일시스템상의메타데이터와파일검증에필요한해시값등이저장된 Menifest.mbdb를이용해서생성시간과최종수정시간을확인및비교함으로써시간조작여부를확인한다. 또한, 백업된각애플리케이션들의사용자데이터의분석을통해서도분석할수있다. 각애플리케이션은사용자데이터를 SQLite 형식의 DB 파일로저장하는데, 이때각데이터는생성한순서대로저장된다. 이러한점을근거로하여생성된순서와생성시간의역전현상이존재하는경우시간조작여부를확인한다. 두번째는탈옥 (Jail-break) 상태의디바이스를가지고하는분석방법이다. 이방법은순정상태에서루트 (root) 권한을얻어내는탈옥이선행되어야한다. 이렇게탈옥된기기를가지고임의적인디바이스의시간조작이이뤄졌을때남아있는로그분석을통해시간조작여부를확인한다. 앞의방법을위해서 iphone 4s, 5, 5S, ipad mini 총 4대의기기를사용하였고, ios 7, ios 8의버전에서수행하였다. ios 7과 ios 8 버전에대한차이를현논문에서다루는타임스탬프위 변조흔적과관련해서얘기한다면, CurrentPowerLog 의운영방식이바뀌었다는점을볼수있다. ios 7 이하방식에서는 CurrentPowerLog를일반파일형식으로저장하였으나, ios 8부터는 DB를사용하여저장하는방식으로바뀌었다. 이에따라탈옥시조사방법이달라지는데, 그방법은 3.2 절에서소개한다. 이장에서는개념설명과 2가지환경에따른타임스탬프위 변조분석방법을실험을통해알아볼것이며, 해당처리순서도는 Fig. 1과같다. 3.1 아이튠즈의백업기능을이용한분석이절에서는아이튠즈의백업기능을이용한타임스탬프위 변조흔적에대한조사방법을제시한다. 시간설정파일인 com.apple.timed.plist의생성및수정시간을통해조사하는방법과백업된애플리케이션의사용자데이터를조사하는방법을제시한다. 1) 시간설정파일을이용한시간조작흔적조사 Fig. 1. Flow chart of timestamp analysis ios 디바이스는기본적으로서버로부터시간을동기화하는방식으로설정되어있다. 그러나사람에의해시간을임의로변경할수있는데, 이러한시간설정에관한내용을담고있는파일이 com.apple.timed.plist이다. 일반적으로는사람들이시간을임의로변경할일이없으므로, com.apple. timed.plist 파일은수정되지않는다. 따라서해당파일에대한생성시간과최종수정시간이같은것이기본적이다. 하지만시간을임의로변경한다면, 시간설정파일의최종수정시간은변경된다. 따라서 com.apple.timed.plist의최종수정시간을통해시간변경여부를확인해야하지만, 백업된 com.apple.timed.plist 파일만가지고해당파일의생성시간과최종수정시간을확인할수없다. 이것을확인하기위해백업파일들에대한메타데이터를가지고있는 Menifest. mbdb 파일을이용한다. 아이튠즈를이용하여백업을수행하면각디바이스에해당하는백업경로에백업파일들이생성되게된다. 각각사용자 PC에백업된파일들은일정규칙으로해시 (hash) 된파일이름으로명명된다. 이파일들은각각디바이스의애플리케이션데이터및사용자데이터이며, 해당파일들에대한메타데이터를레코드단위로가지고있는파일이 Menifest.mbdb이다. 해당파일은백업폴더안에저장되어있는파일들의파일명, 파일의도메인, 파일경로, 파일의해시값, 파일시스템상의시간등이레코드단위로기록되어있다.

176 정보처리학회논문지 / 컴퓨터및통신시스템제 5 권제 7 호 (2016. 7) Table 2. Example of Menifest.mbdb record structure No. Offset Data Explanation 1 2byte 0x000A Domain string length 2 String HomeDomain Domain name 3 2byte 0x0012 File Path string length 4 String Library/SMS/sms.db File Path 5 2byte 0xFFFF End of Domain and File Path 6 2byte 0x0014 File Hash string length 7 String 0xC5B0...7DBD File Hash string 8 2byte 0xFFFF End of File Hash 9 2byte 0x81A4 Mode(File, Directory and Authority) 10 4byte 0x000000 NULL 11 4byte 0x00000099 Node Value 12 4byte 0x000001F5 User ID 13 4byte 0x000001F5 Group ID 14 4byte 0x54FD8061 Last modified time (UNIX Time) 15 4byte 0x5502C62F Last access time (UNIX Time) 16 4byte 0x53F73BA5 Created time (UNIX Time) 17 8byte 0x0000000000807000 File size (byte) Fig. 2. Analysis com.apple.timed.plist through Menifest.mbdb file Menifest.mbdb 내에존재하는파일별레코드구조를분석해보면 Table 2와같다. 이정보를통해백업된파일의생성시간과수정시간그리고접근시간을알수있다. 따라서디바이스의시간설정파일인 com.apple.timed.plist의생성시간, 접근시간및수정시간을 Menifest.mbdb 내에저장된데이터를통해알수있다. Menifest.mbdb에서 com. apple.timed.plist에해당하는레코드를찾고그중에서그파일에대한생성, 수정, 접근시간을조사한다. Menifest.mbdb 에서 com.apple.timed.plist에해당하는레코드는 Fig. 2와같다. 만일생성시간과수정시간이같다면, 디바이스의로컬시간을임의로변경하지않았다고판단하며, 그렇지않으면임의로변경한것으로판단한다. 2) 애플리케이션사용자데이터를이용한시간조작흔적조사디바이스내에설치된 ios 운영체제가탈옥을지원하지못 할경우 Apple 사에서제공하는아이튠즈를이용하여백업된각애플리케이션의사용자데이터파일을가지고분석을한다. 이파일들은 SQLite 형식의 DB 파일로써데이터가저장될때, 각데이터는디바이스의시간과관계없이생성된순서대로저장되기때문에데이터의생성순서와저장된타임스탬프사이의역전을찾음으로써시간조작여부를확인한다. 여기서분석할애플리케이션 ( 이하앱 ) 은기본앱인 SMS( 문자메시지및아이메시지 ), PhoneCall, Camera 앱의사용자데이터에대하여분석을진행한다. 해당앱은기본앱중에서시간조작과연관이있는앱을선정하였으며, 3rd Party 메신저앱의사용자데이터를분석해본결과사용자데이터가저장된 DB 파일에메시지별송수신시간을저장할때, 디바이스의시스템시간을저장하는것이아닌서버시간을가져오기때문에시간조작분석과무관하여제외하였다.

ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 177 a) SMS 앱분석 SMS 앱으로송 수신한메시지들은 sms.db라는파일로파일시스템내부에존재하는데, 이것을아이튠즈의백업기능을통해백업했을경우, sms.db에해당하는해시값으로백업폴더내에저장한다. Fig. 3과 Fig. 4는 SMS 앱을이용하여문자메시지및아이메시지를보낸화면을보여주고있다. 여기서네모상자를보면시간의순서가오름차순이아닌무작위로섞여있는것을발견할수있는데, 이것은디바이스의시간을조작하여문자메시지를조작된시간으로발송한것이다. 해당문자메시지는 sms.db 파일내에서역전현상없이그대로화면에보여주고있음을확인할수있다. 해당메시지를 sms.db를통하여확인해본결과는 Fig. 5 와같다. 발송된메시지들은해당 DB의형식에맞춰저장되 고, 차례로 ROW ID의생성순서에따라메시지가저장되기에디바이스상에서는 SMS의타임스탬프위 변조가불가능하다. 하지만 Menifest.mbdb에저장된해시값을조작된 sms.db에대한해시값으로대체한뒤아이튠즈의복원기능을통해복원하면조작할수있다. b) PhoneCall 앱분석 PhoneCall 앱을통해사용한전화사용기록은파일시스템내부에 CallHistory.storedata라는이름으로존재한다. 이파일은백업폴더내에해시값으로지정된이름으로저장되어있다. Fig. 6은 PhoneCall 앱을이용하여전화를송 수신한화면과 CallHistory.storedata 파일을보여주고있다. SMS 앱에서봤던것과달리여기서는시간의흐름대로나열되어있음을 Fig. 3. Text Message on SMS Application Fig. 4. imessage on SMS Application Fig. 5. Database of SMS Application Fig. 6. Comparing Call history to CallHistory.stroedata file

178 정보처리학회논문지 / 컴퓨터및통신시스템제 5 권제 7 호 (2016. 7) 볼수있다. 하지만 Fig. 6의우측번호중 2, 3, 7번은디바이스의시간을조작한후에전화를시도한부분이다. 조작한부분을찾기위해전화사용기록에대한정보를담고있는 DB 파일인 CallHistory.storedata를분석한다. CallHistory.storedata는 SQLite 형식의 DB 파일로써해당전화송 수신기록이 index의순서대로저장된다. 따라서앱에서보이는전화송 수신목록의순서와 DB 상의순서를비교하여조작된통화를찾아낼수있다. c) Camera 앱분석 Camera 앱을통해찍은사진정보는파일시스템내부에 Photos.sqlite라는 DB 파일에존재한다. 사진들의기본정보를담고있는테이블은 ZADDITIONALASSETATTRIBUTES로써파일저장경로및이름등을기록하고있다. Fig. 7은 Camera 앱을통해찍은사진을보여주는 Photos 앱이다. 여기서제일상단에보이는사진이시간조작을통해찍은사진으로써 Photos 앱에서는시간의흐름에따라정렬해서보여주는것을볼수있다. 따라서해당증거의시간조작여부를판단하기위해서사진들의정보를 DB형태로저장된 Photos.sqlite를통해흔적을조사한다. Fig. 8은해당 DB 형식의파일을열어본것이다. ios 기반디바이스의경우사진을찍었을경우해당테이블의 ZEXIFTIMESTAMPSTRING 칼럼에사진을찍은시간이저장되어있는것을확인할수있으며, 이사진이현재조사중인디바이스에서찍었음을판단함과동시에, index 순서대로 DB 상에기록되기때문에사진의시간위 변조여부를판단할수있다. Fig. 8. DB Table of Photos.sqlite 3.2 탈옥된디바이스의 CurrentPowerLog를이용한분석 CurrentPowerLog는시스템이벤트를나타내는레코드들에대한로그를저장하는시스템용파일이다. 해당로그는 ios 버전에따라달라지는데, ios 7 이하버전의경우는 CurrentPowerLog.powerlog라는파일의형태로저장되어있으며, ios 8 이상버전의경우 CurrentPowerLog.PLSQL로 DB 파일로저장되어있다. 이파일을추출하기위해서는탈옥 (Jailbreak) 해야한다. 1) CurrentPowerLog.powerlog 분석 (ios 7 이하 ) 이파일은앞에서언급한바와같이 ios7 이하의버전에서사용되고있는시스템이벤트에해당하는로그파일이다. 이파일에서각레코드항목은속성태그에고정되어있으며, 이속성태그는수행된활동의유형을나타낸다. 해당파일이저장되어있는경로는 [/var/mobile/library/logs] 이며 Fig. 9는 CurrentPowerlog.powerlog의일부분이다. 그림을보면네모상자위의시간인 [03/04/15 19:01:15] 에서네모상자내에존재하는시간인 [03/01/15 19:01:57] 로바뀐것을확인할수있다. 이것은 time zone 설정부분에서시간값을변경한것에대한로그가기록된것이다. 이것을통해현재인위적으로아이폰내의시간이조작되었음을확인할수있다. 하지만이로그파일은하루에한개의로그만을기록하고있으며, 최대 10일간의로그파일을 [/var/mobile/library/ Logs/PLArchive] 의하위디렉터리에저장한다. Fig. 10은 PLArchive 디렉터리하위에저장된 PowerLog 의모습이다. Fig. 7. Photos Application 2) CurrentPowerLog.PLSQL 분석 (ios 8 이상 ) 이파일은 ios 8 버전으로바뀌면서해당로그의형태가바뀌게되었다. DB 형식으로바뀌게되었으며, 수행된활동에대한유형을 207개의테이블별로나눠로그를기록하고있다. 각테이블은유형에따라다른칼럼들을가지고있다. 해당파일이저장된경로는 [/var/mobile/library/batterylife] 이다. Fig. 11은 CurrentPower log.plsql의일부분이며, PLStorageOperator_EventFoward_Timeoffset이라는테이블을보여주고있다. 이테이블은시간과관련된이벤트에대한기록이며, 이것을통해시간조작행위가일어났음을알아낼수있다. Fig. 11을보면 System이란칼럼은시스템내부시간을나타내는데표현형식은 Unix Time이다. 여기서 17, 18번 index 를비교하였을때, [1436511806.23503에서 1436475757.27837] 과같이시간이줄어들었음을확인할수있다. 이로그도 [/var/mobile/library/batterylife/archives] 라는하위디렉터리에최대 5일분량의로그파일을저장하고있다.

ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 179 Fig. 9. CurrentPowerLog.powerlog file Fig. 10. Archive files of CurrentPowerlog.powerlog Fig. 11. PLStorageOperator EventForward Timeoffset Table on CurrentPowerLog.PLSQL Fig. 12. general.log 3.3 백업된파일의 Restore 기록을통한타임스탬프위 변조흔적에대한타당성검증디바이스의타임스탬프위 변조여부에관한확인은앞에서설명한것과같이아이튠즈를통해디바이스의데이터를백업한뒤, 이렇게백업된파일을조작하여 Restore( 복구 ) 한경우에는위 변조의여부를파악할수없지만백업된파일이조사대상디바이스에언제 Restore가되었는지확인할방법이존재한다 [10]. 이것은디바이스내에존재하는 general.log를통해서확인할수있는데, 해당파일이저장된경로는 [/private/var/logs/applesupport/] 와같다. 이렇게추출된 general.log파일을확인하면, 백업및복구날짜를확인할수있다. Fig 12. 는 general.log를확인한모습이다. 해당로그를통해 ios 디바이스의백업및복구날짜를확인함으 로써실제조사한디바이스의타임스탬프위 변조흔적에대한무결성을검증할수있다. 4. 결론본논문에서는 ios에서의타임스탬프위 변조흔적조사에관한방법을탈옥된기기혹은탈옥이가능한기기를분석하는방법과탈옥이되지않은기기를분석하는방법 2가지를제시하였다. 특히 ios 7 이하버전에서 ios 8로버전이상향되면서변경된 CurrentPowerlog에대한분석방법도제시함으로써타임스탬프위 변조에대한탐지를높이고자하였으며, 실제애플리케이션에남는타임스탬프데이터의분석을제시함으로써로그분석의방법과비교하여분석할

180 정보처리학회논문지 / 컴퓨터및통신시스템제 5 권제 7 호 (2016. 7) Table 3. Summarized in the table for the analysis Filename Type Table name Referenced column or line Details service Whether used for SMS or imessage sms.db message date Unix Time value ZDATE Unix Time value CallHistroy.storedata ZCALLRECORD ZADRESS Target phone number Database ZADDITIONALASSET ZEXIFTMESTAMPSTRING Taken time Photos.sqlite ATTRIBUTES ZORIGINALFILENAME File name PLStorageOperator_Even ID Event procedure CurrentPowerLog.PLSQL tforward_timeoffset system Unix Time value CurrentPowerLog.powerlog - Locale Notification that there is a change in the Timezone Text general.log - itunesrestore Notification that a recovery occurred at that time. 수있도록하였다. Table 3은분석해야할파일과참조해야할데이터에대한정리표이다. 타임라인분석은분석데이터를시간순으로나열하여분석하는방법을말한다. 이런타임라인분석은포렌식조사에서특정이벤트발생시점전, 후로시스템상에서어떤일이발생했는지쉽게파악할수있으며, 정밀분석대상을빠르게선별할수있게해준다. 하지만이런타임스탬프가위 변조될경우, 디지털증거의신뢰성저하뿐만아니라타임라인분석시범죄자의의도대로수사의흐름이바뀔수있다. 예를들어, 범죄자가자신의거짓알리바이를위해디바이스의시스템시간을바꾼뒤조작된시간아래에서사진을찍어증거로제시할가능성이있다. 따라서본논문을통해기기내타임스탬프위 변조여부를분석함으로써사건해결에중요한타임라인을구성할때큰역할을할수있으리라판단된다. [9] JaeHyun So, Search evidence of the iphone Backup file, AhnLab Tech Report [Internet], 2012, http://www.ahnlab.com/ kr/site/securityinfo/secunews/secunewsview.do?seq=20118. [10] Sangah Kim, The Analysis of Synchronized or Restored Pictures in Smart Devices, Graduate School of Information Security, Korea University, 2014. 이상현 e-mail : leekeezz@korea.ac.kr 2011년가톨릭대학교컴퓨터공학과 ( 학사 ) 2015년 현재고려대학교정보보호대학원정보보호학과석사과정관심분야 : Digital Forensic, Mobile Forensic, Reverse Engineering References [1] Business Post [Internet], The market share of smartphone, 2015, http://www.businesspost.co.kr/news/articleview.html? idxno=9866. [2] ZD Net Korea [Internet], Domestic smartphone subscribers, 2015, http://www.zdnet.co.kr/news/news_view.asp?artice_id =20150120151312. [3] Wikipedia [Internet], ios Jailbreak, https://ko.wikipedia.org/ wiki/ios_ %ED%83%88%EC%98%A5. [4] SANS, Forensic analysis on ios devices, 2012. [5] M. Kaart and S. Laraghy, Android forensics: Interpretation of timestamps, Digital Investigation, Vol.11, Issue 3, pp. 234-248, 2014. [6] Sean Morrissey, ios Forensic Analysis for iphone, ipad and ipod touch, Apress, 2010. [7] Graeme Horsman and Lynne R. Conniss, Investigating evidence of mobile phone usage by drivers in road traffic accidents, Digital Investigation, Vol.12, pp.s39-s37, 2015. [8] SungKyoung Un and WooYoun Choi, A Trend of Smartphone Forensic Technology, Tech Report of ETRI, 2013. 이윤호 e-mail : yuno21@korea.ac.kr 2014년고려대학교정보보호대학원정보보호학과 ( 석사 ) 2014년 현재고려대학교정보보호대학원정보보호학과박사과정관심분야 : Digital Forensic, Mobile Forensic, Information Security 이상진 e-mail : sangjin@korea.ac.kr 1987년 : 고려대학교수학과 ( 학사 ) 1989년 : 고려대학교수학과 ( 석사 ) 1994년 : 고려대학교수학과 ( 박사 ) 1989년 1999년 ETRI 선임연구원 1999년 현재고려대학교정보보호대학원교수 2008년 현재고려대학교디지털포렌식연구센터센터장관심분야 : Digital Forensic, Steganography, Hash Function

2024 © docsplayer.org 개인정보보호 | 약관 | 지원