KR101603713B1 - 부분 추출을 활용한 현장용 모바일 포렌식 방법 - Google Patents

부분 추출을 활용한 현장용 모바일 포렌식 방법 Download PDF

Info

Publication number
KR101603713B1
KR101603713B1 KR1020140103749A KR20140103749A KR101603713B1 KR 101603713 B1 KR101603713 B1 KR 101603713B1 KR 1020140103749 A KR1020140103749 A KR 1020140103749A KR 20140103749 A KR20140103749 A KR 20140103749A KR 101603713 B1 KR101603713 B1 KR 101603713B1
Authority
KR
South Korea
Prior art keywords
forensic
file
backup
mobile
mobile device
Prior art date
Application number
KR1020140103749A
Other languages
English (en)
Other versions
KR20160019250A (ko
Inventor
남기훈
Original Assignee
남기훈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 남기훈 filed Critical 남기훈
Priority to KR1020140103749A priority Critical patent/KR101603713B1/ko
Publication of KR20160019250A publication Critical patent/KR20160019250A/ko
Application granted granted Critical
Publication of KR101603713B1 publication Critical patent/KR101603713B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Telephone Function (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 모바일 포렌식 방법에 관련된다. 본 발명은 실시예로, 모바일 기기와 포렌식 기기를 연결하는 단계와, 상기 모바일 기기의 특정 폴더에 저장된 정보를 상기 포렌식 기기에 백업하는 단계 및 상기 백업된 파일을 분석하여 수사에 관련된 분석 정보를 추출하는 단계를 포함하는 부분 추출을 활용한 현장용 모바일 포렌식 방법을 제시한다.

Description

부분 추출을 활용한 현장용 모바일 포렌식 방법{Mobile Forensics Method for field using part extraction}
본 발명은 현장에서 짧은 시간에 원하는 정보를 얻기 위한 모바일 포렌식 방법에 관한 것이다.
스마트폰, 태블릿 PC 등으로 대변되는 개인용 통신장비, 즉 모바일 기기가 널리 보급되면서, 대다수의 현대인에게 필수품이 되고 있다. 최근 모바일 기기는 통화 및 문자 송수신 기능뿐만 아니라, 게임, 카메라, 일기장, 메일 확인 및 발송, 웹 서핑 등 기존 개인 컴퓨터에서 해오던 많은 작업을 수행하도록 발전하고 있다. 또한 GPS 기능을 가지고 있어 각종 위치 기반 서비스를 제공하고 있다.
제공하는 서비스가 늘어나며 휴대성이 큰 모바일 기기는 통신 내역, 이동 경로 등 사용자의 행동에 대한 전반적인 정보를 수집, 저장하고 있다. 따라서 범죄의 수사와 관련된 유용한 증거가 모바일 기기로부터 수집될 확률이 매우 크다.
모바일 기기가 가진 정보를 수사하는 방안으로, 모바일 포렌식이 개발되어 왔다. 모바일 포렌식은 디지털 포렌식의 한 분야로 모바일 기기에서 삭제된 데이터를 복구하거나 여기저기 흩어져 있는 정보를 취합하여 유의미한 법정 증거자료를 확보하는 것이다.
이러한 모바일 포렌식에서 중요한 포인트 중 하나는 현장에서 용의자의 모바일 기기를 입수하였을 때 이 모바일 기기 내에 범죄의 증거로서 사용할 수 있는 자료가 있는지를 빠르게 검색하는 것이다.
종래의 모바일 포렌식 장치 중 하나는 모바일 기기를 포렌식 장치에 연결하여 포렌식을 수행하되, 모바일 기기에 저장된 전체 정보에 대해 덤프 파일을 생성한 후 이 덤프 파일로 포렌식을 수행한다.
이러한 방법은 저장된 정보의 위조나 변조를 방지하는데 유리하지만, 덤프 파일을 생성하는데 시간이 많이 들고 이를 이용하여 포렌식을 수행하는데도 시간이 많이 들므로, 현장에 있는 용의자의 모바일 기기를 신속하게 분석할 수 없는 한계가 있다.
대한민국 공개특허 제10-2011-0129573호 (2012.12.02)
본 발명은 모바일 기기를 포렌식 조사함에 있어서 특정한 어플리케이션의 저장 영역을 선택하여 조사함으로써 현장에서 짧은 시간에 원하는 정보를 얻기 위한 포렌식 방법을 제시한다.
그 외 본 발명의 세부적인 목적은 이하에 기재되는 구체적인 내용을 통하여 이 기술분야의 전문가나 연구자에게 자명하게 파악되고 이해될 것이다.
위 과제를 해결하기 위하여 본 발명은 실시예로, 모바일 기기와 포렌식 기기를 연결하는 단계, 상기 모바일 기기의 특정 폴더에 저장된 정보를 상기 포렌식 기기에 백업하는 단계 및 상기 백업된 파일을 분석하여 수사에 관련된 분석 정보를 추출하는 단계를 포함하는 부분 추출을 활용한 현장용 모바일 포렌식 방법을 제시한다.
상기 백업하는 단계는, 특정한 저장 폴더를 갖는 백업대상을 상기 포렌식 기기에 표시하는 단계, 표시된 상기 백업대상 중에서 하나 이상을 선택하는 단계 및 선택한 상기 백업대상에 관련된 정보가 저장된 폴더의 파일을 상기 포렌식 기기에 백업하는 단계를 포함할 수 있다.
한편 상기 백업하는 단계는, 선택한 상기 백업대상에 관련된 정보가 저장된 폴더의 파일을 상기 포렌식 기기에 전송하도록 명령하는 제1전송명령단계, 상기 제1전송명령단계에서 전송이 제한되는 경우 상기 모바일 기기를 루팅 또는 커널익스체인지한 후 상기 파일을 상기 포렌식 기기에 전송하도록 명령하는 제2전송명령단계를 포함할 수 있다.
여기에서 상기 제1전송명령단계에서, 상기 백업대상이 파일의 전송을 허용하지 않는 버전의 어플리케이션인 경우 파일의 전송을 허용하는 하위 버전으로 다운그레이드를 더 수행할 수 있다.
한편 본 발명은 위 과제를 해결하기 위하여 실시예로, 모바일 기기로부터 특정한 폴더의 파일을 받아 저장하는 백업모듈, 상기 모바일 기기를 루팅하여 상기 백업모듈이 파일을 저장할 수 있게 하는 루팅모듈, 상기 모바일 기기의 커널을 교체하여 상기 백업모듈이 파일을 저장할 수 있게 하는 커널익스체인지모듈, 상기 모바일 기기의 특정한 어플리케이션을 하위 버전으로 교체하여 상기 백업모듈이 파일을 저장할 수 있게 하는 다운그레이드모듈 및 상기 백업모듈에 저장된 파일을 분석하여 포렌식을 수행하는 포렌식모듈을 포함하는 부분 추출을 활용한 현장용 모바일 포렌식 장치을 제시한다.
본 발명의 실시예에 따르면, 스마트 폰 등 모바일 기기를 입수한 현장에서 필요한 부분에 대해 신속하게 모바일 포렌식을 수행할 수 있어, 빠른 시간 내에 수사 활동에 도움을 줄 수 있다.
그 외 본 발명의 효과들은 이하에 기재되는 구체적인 내용을 통하여, 또는 본 발명을 실시하는 과정 중에 이 기술분야의 전문가나 연구자에게 자명하게 파악되고 이해될 것이다.
도 1은 본 발명의 실시예에 따른 부분 추출을 활용한 현장용 모바일 포렌식 방법의 구현을 위한 시스템의 구성을 나타내는 도면.
도 2는 도 1의 포렌식 기기의 구성을 나타내는 블럭도.
도 3은 본 발명의 실시예에 따른 부분 추출을 활용한 현장용 모바일 포렌식 방법을 개략적으로 나타내는 순서도.
도 4는 본 발명의 실시예에 따른 부분 추출을 활용한 현장용 모바일 포렌식 방법의 실행 화면을 나타내는 도면.
상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
이하, 본 발명의 실시예에 따른 부분 추출을 활용한 현장용 모바일 포렌식 방법에 대해 도면을 참조하여 상세하게 설명한다. 본 명세서에서는 서로 다른 실시예라도 동일유사한 구성에 대해서는 동일유사한 참조번호를 부여하고, 그 설명은 처음 설명으로 갈음한다.
본 발명의 실시예에 따른 부분 추출을 활용한 현장용 모바일 포렌식 방법은, 모바일 기기(100)와 포렌식 기기(200)를 연결하는 단계와, 포렌식 기기(200)에서 모바일 기기(100)의 특정 폴더에 저장된 정보를 포렌식 기기(200)에 백업하는 단계 및 백업된 파일을 분석하여 수사에 관련된 분석 정보를 추출하는 단계를 포함한다.
여기에서 모바일 기기(100)는 수사의 대상이 되는 모바일 기기를 말하고, 포렌식 기기(200)는 수사관들이 수사현장에서 간편하게 휴대할 수 있는 휴대용 포렌식 기기인 것이 바람직하다.
또한 모바일 기기(100)와 휴대용 포렌식 기기(200)를 연결하는 것은 유선 또는 무선으로 연결하는 것을 모두 포함하는 개념으로서 USB 케이블이나 블루투스 통신 등을 이용할 수 있다.
한편 모바일 기기(100)의 특정 폴더에 저장된 정보는 모바일 기기(100)의 특정 어플리케이션이 생성하는 폴더에 저장된 정보로서, 사용자가 특정 어플리케이션을 선택하면 이 어플리케이션과 관련된 폴더에 저장된 정보를 포렌식 기기(200)에 백업하여 저장한 후 이 정보에 대해 포렌식을 수행함으로써 수사에 관련된 분석 정보를 추출하게 된다.
이와 같은 방법을 통하면 현장에서 수집된 모바일 기기에서 특정한 부분만을 선택하여 조사하는 것이 가능하므로 신속한 조사가 가능하고, 이 결과에 따라 용의자를 신속하여 특정하여 체포하는 것이 가능하다.
이하에서 본 발명의 실시예에 따른 모바일 포렌식 방법을 구현하기 위한 시스템의 각 구성요소에 대하여 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 부분 추출을 활용한 현장용 모바일 포렌식 방법의 구현을 위한 시스템의 구성을 나타내는 도면이고, 도 2는 도 1의 포렌식 기기의 구성을 나타내는 블럭도이다.
실시예에 따른 모바일 포렌식 방법을 구현하기 위한 장치는 모바일 기기(100)와 포렌식 기기(200)를 포함한다. 모바일 기기(100)와 포렌식 기기(200)는 유,무선통신을 통해 서로 연결된다.
모바일 기기(100)는 본 발명의 실시예에 따른 모바일 포렌식 방법에 의해 분석되는 분석 대상 기기이다. 최근에는 모바일 기기(100)의 사용이 보편화되고 사용자가 모바일 기기(100)를 소지하고 다니면서, 메시지의 송수신이나 통화를 하는 것 이외에도 웹서핑이나 채팅, 게임을 하는 등으로 기능이 다양화되었다.
종래에는 일반 퍼스널 컴퓨터나 하드 디스크, 메모리 등 저장매체를 대상으로 하는 디지털 포렌식이 일반적이었으나, 이와 같이 모바일 기기(100)가 사용자의 행위에 대한 포괄적인 정보를 포함하게 되면서, 모바일 기기(100)에 대한 모바일 포렌식이 중요해졌다.
뿐만 아니라, 대부분의 모바일 기기(100)에서 GPS 기능이나 이동통신망을 통해 모바일 기기(100)의 위치 파악이 가능하므로, 모바일 기기(100)에 대한 모바일 포렌식을 통해 사용자의 위치 변화를 파악할 수 있어, 수사에 많은 도움이 될 수 있다.
모바일 기기(100)는, 스마트폰, 스마트 노트, 태블릿 PC, 스마트 카메라 등의 휴대가 가능한 단말기를 말한다. 다만, 본 발명에 의해 모바일 포렌식을 수행할 수 있는 모바일 기기(100)는, 나열한 바와 같은 단말기의 형태에 한정되는 것은 아니고, 다양한 기능을 하는 모바일 기기(100)로서 모바일 포렌식을 통한 분석이 필요한 기기라면, 구체적인 단말기의 형태에 관계없이 본 발명의 모바일 기기(100)의 역할을 얼마든지 할 수 있다.
또한 모바일 기기(100)는 현재 이용되고 있거나 장래에 이용 가능하게 될 모든 종류의 모바일 기기(100)를 포함할 수 있다.
포렌식 기기(200)는, 모바일 기기(100)로부터 분석 대상 파일을 추출하여 백업하고, 포렌식을 수행하는 것으로서, 수사 현장에서 간편하게 휴대할 수 있는 휴대용 포렌식 기기일 수 있다. 여기에서 포렌식 기기(200)는 상술한 모바일 기기와 같이 휴대가 가능한 단말기일 수 있다. 도 1에는 태블릿 PC와 같은 스마트 디바이스가 포렌식 기기로 사용되는 것이 도시되어 있다.
수사관 또는 수사 기관에서는 포렌식 기기(200)에 파일 추출 및 백업을 위한 애플리케이션 프로그램 등을 설치 및 실행하고, USB 등의 시리얼 통신이나 블루투스 등의 무선 통신으로 모바일 기기(100)를 포렌식 기기(200)에 연결하여 분석 대상 파일을 추출할 수 있다.
도면을 참조하면 본 발명의 실시예에 따른 포렌식 기기(200)는, 백업모듈(210), 루팅모듈(220), 커널익스체인지모듈(230), 다운그레이드모듈(240), 포렌식모듈(250)을 포함한다.
백업모듈(210)은 모바일 기기(100)로부터 특정한 폴더의 파일을 받아 저장한다.
모바일 기기(100)에 저장되는 정보는 시간에 따른 행위 정보, 시간에 따른 위치 정보, 통화 내역, 문자 메시지, 메신저 대화 내용 등이 있는데 이들은 각각 고유한 폴더 내에 저장된다.
수사관은 이러한 정보 중 포렌식을 수행하고자 하는 정보를 선택하게 되고, 선택된 정보가 저장된 폴더의 파일은 백업모듈(210)로 전송되어 백업된다.
여기에서 백업은 대상 파일만을 추출하여 다른 저장장치로 복사하는 과정을 말하는 것으로서, 해당 정보가 위치한 단위 저장영역 전체를 복사하는 파일덤프에 비해 복사하는데 들어가는 시간을 줄일 수 있다.
이 때 일부의 폴더는 모바일 기기 제조사나 어플리케이션 제작사의 제한에 의해 백업이 불가능할 수 있다. 따라서 이러한 경우 백업을 하기 위한 수단이 필요하게 된다.
루팅모듈(220)은 모바일 기기(100)를 루팅하여 백업모듈(210)이 파일을 저장할 수 있게 한다.
루팅은 모바일 기기(100)의 운영체제에서 관리자의 권한을 획득하는 행위를 말하는데, 루팅에 의해 그 모바일 기기(100)의 시스템 전권을 획득하게 되면 지원하지 않는 기능을 추가하거나 지원하는 기능을 삭제할 수 있다.
이에 따라 사용자는 모든 파일과 어플리케이션에 접근이 가능하게 되고 루팅모듈(220)에 의해 루팅이 종료된 상태에서 백업모듈(210)로 백업을 수행함으로써 백업이 제한된 폴더의 경우에도 백업이 가능하게 된다.
커널익스체인지모듈(230)은, 모바일 기기(100)의 커널을 교체하여 백업모듈(210)이 파일을 저장할 수 있게 한다.
커널익스체인지는 운영체제의 가장 핵심적인 부분인 커널을 교체하는 행위를 말하는데, 커널은 인터럽트 처리, 프로세스 관리, 메모리 관리, 파일시스템 관리 등의 가장 기본적인 기능을 담당하고 하드웨어와도 밀접한 관련이 있으므로 커널을 교체함에 따라 제한된 기능을 활성화하는 것도 가능하다.
이에 따라 사용자는 백업기능을 활성화 할 수 있고 커널익스체인지모듈(230)에 의해 커널의 교체가 완료된 상태에서 백업모듈(210)로 백업을 수행함으로써 백업이 제한된 폴더의 경우에도 백업이 가능게 된다.
다운그레이드모듈(240)은, 모바일 기기(100)의 특정한 어플리케이션을 하위 버전으로 교체하여 백업모듈(210)이 파일을 저장할 수 있게 한다.
다운그레이드란 컴퓨터 운영체제, 드라이버, 어플리케이션 등을 현재버전에서 구버전으로 다시 변경하는 행위를 말하는데, 어플리케이션이 종래에 백업기능을 허용하였다면 백업기능을 허용하는 버전으로 다운그레이드를 한다.
이에 따라 사용자는 백업기능을 사용할 수 있고 다운그레이드가 완료된 상태에서 백업모듈(210)로 백업을 수행함으로써 백업이 제한된 폴더의 경우에도 백업이 가능게 된다. 다운그레이드모듈(240)은 백업모듈(210)에 의해 백업이 완료된 후에 다시 원래 버전으로 업그레이드시키는 기능을 가질 수도 있다.
한편 다운그레이드모듈(240)은 백업기능을 사용할 수 있는 다운그레이드 버전을 가지는 운영체제, 드라이버, 어플리케이션 등에 대한 정보가 저장된 DB를 구비할 수 있다.
포렌식모듈(250)은 백업모듈(210)에 저장된 파일을 분석하여 포렌식을 수행한다. 포렌식모듈(250)은 추출된 분석 대상 파일로부터 정보를 분석하여 유의미한 증거자료를 확보할 수 있다.
한편 이를 출력모듈을 통해 수사관 또는 수사 기관 등에서 쉽게 확인 가능하도록 출력할 수도 있다.
이 때 포렌식 기기(200)는 분석 정보를 텍스트 형태의 전자 문서로 제공할 수 있다. 즉 포렌식 기기(200)가 분석 정보를 텍스트 형태로 디스플레이에 출력하여 수사관 등이 확인 가능하도록 할 수 있다. 분석 정보의 문서는, 시간에 따른 행위 정보, 시간에 따른 위치 정보, 통화 내역, 문자 메시지, 메신저 대화 내용 등 텍스트 형태로 분석 가능한 데이터를 포함할 수 있다.
추가적으로 포렌식 기기(200)는, 추출한 분석 정보를 이용하여 사용자의 행위를 시뮬레이션할 수 있다. 즉, 포렌식 기기(200)는 추출한 분석 정보를 이용하여 시간의 흐름에 따라 사용자가 어떠한 행위를 하는지, 또는 어디에서 어디로 이동하였는지 등을 시뮬레이션하도록 구성될 수 있다.
이러한 백업모듈(210), 루팅모듈(220), 커널익스체인지모듈(230), 다운그레이드모듈(240), 포렌식모듈(250), 출력모듈들의 작동은 중앙처리모듈(260)에서 제어된다.
다음으로 본 발명의 실시예에 따른 부분 추출을 활용한 현장용 모바일 포렌식 방법에 대하여 도면을 참조하여 상세하게 설명한다.
도 3은 본 발명의 실시예에 따른 부분 추출을 활용한 현장용 모바일 포렌식 방법을 개략적으로 나타내는 순서도이다.
먼저 모바일 기기(100)와 포렌식 기기(200)를 연결한다(S1).
사용자는 현장에서 모바일 기기(100)를 입수하면 지참한 휴대용 포렌식 기기(200)에 USB 케이블이나 블루투스 등의 유, 무선 통신을 이용하여 양 기기를 연결한다. 여기서 사용자는 예를 들면 수사관이다.
다음으로 휴대용 포렌식 기기(200)에서 모바일 기기(100)의 특정 폴더에 저장된 정보를 포렌식 기기(200)에 백업한다(S2).
여기에서 포렌식 기기(200)에는 백업대상이 표시되게 된다. 이 백업대상은 모바일 기기(100)에 특정한 저장 폴더를 갖는 정보들로서, 기본적으로 탑재되는 문자 메시지나 GPS 정보와 함께 추가적으로 설치하는 SNS 어플리케이션(카카오톡, 라인 등)의 메신저 대화 내용을 말한다.
도 4에는 포렌식 기기(200)의 실행 화면의 예가 도시되어 있는데, 사용자는 표시된 상기 백업대상 중에서 하나 이상을 선택하고 백업을 실행함으로써 선택한 백업대상의 파일이 포렌식 기기(200)에 백업된다.
이와 같이 모바일 기기(100)에 저장된 정보 중에서 증거 확보를 위해 가장 유용하다고 생각되는 대상 파일을 선택하여 백업 진행이 가능하므로 가장 유용한 정보를 신속하게 백업할 수 있고 이에 대하여 포렌식을 수행함으로써 빠른 증거 확보가 가능하다.
만약 백업대상이 파일의 전송을 허용하지 않는 버전의 어플리케이션인 경우 파일의 전송을 허용하는 하위 버전으로 다운그레이드를 더 수행한 후 백업을 한다.
즉 백업이 되지 않는 경우에는 포렌식 기기(200)에서는 선택한 어플리케이션이 백업을 허용하는 종래 버전이 있는지 확인한 후 그러한 종래버전이 있다면 그 종래버전으로 다운그레이드한 후 백업을 한다(S21). 백업이 종료된 후에는 해당 어플리케이션을 다시 본래의 버전으로 업그레이드할 수 있다.
한편 사용자가 선택한 어플리케이션이 백업을 허용하는 종래 버전을 가지는 경우 포렌식 기기(200)에서는 현재 설치되어 있는 버전이 종래 버전인지 여부를 확인하고 종래 버전이 아니라면 종래 버전으로 다운그레이드한 후 백업을 수행하고 다시 본래의 버전으로 업그레이드하는 것도 가능하다.
이와 같이 다운그레이드가 가능한 어플리케이션의 경우 다운그레이드 한 후 백업을 수행하면 시스템에 큰 무리 없이 모바일 기기(100)에 저장된 정보를 백업하는 것이 가능하다.
한편 보안 등의 이유로 일부 어플리케이션에서는 백업을 위한 자료의 전송이 원천적으로 제한되는 경우가 있다. 이 경우 모바일 기기(100)를 루팅(S22)하거나 또는 커널익스체인지(S23)한 후 파일을 포렌식 기기(200)에 전송하도록 명령한다.
루팅에 의해 해당 모바일 기기(100)의 관리자 권한을 획득하게 되면 모든 파일과 어플리케이션에 접근이 가능하게 되고 루팅이 종료된 상태에서 백업을 수행함으로써 백업이 제한된 폴더의 경우에도 백업이 가능하다.
또한 커널익스체인지에 의해 커널이 교체되면 제한된 기능을 활성화할 수 있으므로 백업기능을 활성화한 상태에서 백업을 수행함으로써 백업이 제한된 폴더의 경우에도 백업이 가능하다.
다만, 루팅이나 커널익스체인지의 경우 시스템의 안정성이 다소 문제가 될 수 있으므로 백업이 가능하도록 다운그레이드를 할 수 있는 경우에는 다운그레이드를 하여 백업을 수행하는 것이 바람직하다.
이와 같이 1차로 백업 시도를 하고 2차로 백업이 안되면 백업이 가능한 버전으로 다운그레이드를 수행한 후 백업 시도를 하며, 다운그레이드가 안되는 경우 3차로 루팅, 커널익스체인지를 통해 백업을 수행함으로써 시스템의 안정성을 도모하면서 백업을 수행할 수 있다. 또한 백업되는 정보는 특정한 폴더에 저장된 소량의 파일이므로 백업시간이 적게 걸린다.
다음으로 백업된 파일을 분석하여 수사에 관련된 분석 정보를 추출한다(S3).
사용자는 포렌식 기기(200)에 백업된 파일에 포렌식을 수행함으로써 분석 정보를 확인할 수 있다. 백업된 정보는 소량의 파일이므로 신속하게 포렌식이 수행될 수 있고 포렌식의 결과로 추출된 정보를 통해 용의자의 특정 및 체포가 가능하다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100 : 모바일 기기
200 : 포렌식 기기
210 : 백업모듈 220 : 루팅모듈 230 : 커널익스체인지모듈
240 : 다운그레이드모듈 250 : 포렌식모듈 260 : 중앙처리모듈

Claims (5)

  1. 포렌식 기기에 모바일 기기를 연결하여 포렌식을 수행하는 방법으로서,
    상기 포렌식 기기가 상기 모바일 기기로부터 특정한 폴더의 파일을 전송받는 단계,
    상기 특정한 폴더를 생성하는 어플리케이션이 파일의 전송을 허용하지 않는 버전인 경우 상기 포렌식 기기가 상기 어플리케이션을 파일의 전송을 허용하는 하위 버전으로 다운그레이드하고 상기 특정한 폴더의 파일을 전송받는 단계,
    상기 어플리케이션의 다운그레이드가 제한되는 경우 상기 포렌식 기기가 상기 모바일 기기를 루팅 또는 커널익스체인지하고 상기 특정한 폴더의 파일을 전송받는 단계,
    상기 포렌식 기기가 상기 모바일 기기로부터 전송된 파일을 백업하는 단계 및
    상기 포렌식 기기가 상기 백업된 정보를 이용하여 포렌식을 수행하는 단계
    를 포함하는 부분 추출을 활용한 현장용 모바일 포렌식 방법.
  2. 제1항에서,
    상기 백업하는 단계는,
    상기 포렌식 기기가 특정한 저장 폴더를 갖는 백업대상 어플리케이션들을 표시하는 단계,
    표시된 상기 백업대상 어플리케이션들 중에서 사용자가 하나 이상을 선택하는 단계 및
    선택된 상기 백업대상 어플리케이션에 관련된 정보가 저장된 폴더의 파일을 상기 포렌식 기기가 백업하는 단계
    를 포함하는 부분 추출을 활용한 현장용 모바일 포렌식 방법.
  3. 삭제
  4. 삭제
  5. 모바일 기기로부터 특정한 폴더의 파일을 받아 저장하는 백업모듈,
    상기 모바일 기기를 루팅하여 상기 백업모듈이 파일을 저장할 수 있게 하는 루팅모듈,
    상기 모바일 기기의 커널을 교체하여 상기 백업모듈이 파일을 저장할 수 있게 하는 커널익스체인지모듈,
    상기 모바일 기기의 특정한 어플리케이션을 하위 버전으로 교체하여 상기 백업모듈이 파일을 저장할 수 있게 하는 다운그레이드모듈 및
    상기 백업모듈에 저장된 파일을 분석하여 포렌식을 수행하는 포렌식모듈
    을 포함하는 부분 추출을 활용한 현장용 모바일 포렌식 장치.
KR1020140103749A 2014-08-11 2014-08-11 부분 추출을 활용한 현장용 모바일 포렌식 방법 KR101603713B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140103749A KR101603713B1 (ko) 2014-08-11 2014-08-11 부분 추출을 활용한 현장용 모바일 포렌식 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140103749A KR101603713B1 (ko) 2014-08-11 2014-08-11 부분 추출을 활용한 현장용 모바일 포렌식 방법

Publications (2)

Publication Number Publication Date
KR20160019250A KR20160019250A (ko) 2016-02-19
KR101603713B1 true KR101603713B1 (ko) 2016-03-15

Family

ID=55448709

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140103749A KR101603713B1 (ko) 2014-08-11 2014-08-11 부분 추출을 활용한 현장용 모바일 포렌식 방법

Country Status (1)

Country Link
KR (1) KR101603713B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102335310B1 (ko) * 2020-04-01 2021-12-08 주식회사 한컴위드 보안 우회를 통한 증거데이터의 포렌식 획득 방법 및 획득 프로그램

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100837742B1 (ko) 2007-08-16 2008-06-13 주식회사 파이널데이터 데이터 통신 케이블을 이용한 모바일 데이터 복구 장치 및그 방법
US20100211574A1 (en) 2007-06-04 2010-08-19 Purdue Research Foundation Method and Apparatus for Obtaining Forensic Evidence from Personal Digital Technologies

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110129573A (ko) 2010-05-26 2011-12-02 배세훈 모바일 디바이스에서 포렌식 정보를 자동으로 추출하는 시스템 및 방법
JP3173356U (ja) * 2011-07-05 2012-02-02 乃元 施 ポータブル電子装置用のデータバックアップ装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100211574A1 (en) 2007-06-04 2010-08-19 Purdue Research Foundation Method and Apparatus for Obtaining Forensic Evidence from Personal Digital Technologies
KR100837742B1 (ko) 2007-08-16 2008-06-13 주식회사 파이널데이터 데이터 통신 케이블을 이용한 모바일 데이터 복구 장치 및그 방법

Also Published As

Publication number Publication date
KR20160019250A (ko) 2016-02-19

Similar Documents

Publication Publication Date Title
CN102006274B (zh) 设备间的无缝应用会话重构
JP5200006B2 (ja) 携帯通信端末、携帯通信端末で実行されるプログラム
US9864736B2 (en) Information processing apparatus, control method, and recording medium
CN102473304A (zh) 元数据标记系统、图像搜索方法和设备、及其用于标记手势的方法
CN103942054A (zh) 一种基于安卓的数据取证系统
CN108063879A (zh) 远程支持系统及其控制方法、支持装置、信息处理装置和介质
JP2006302170A (ja) ログ管理方法及び装置
CN108984339B (zh) 数据恢复方法及相关产品
CN105867962A (zh) 系统升级的方法和装置
EP2492791A1 (en) Augmented reality-based file transfer method and file transfer system thereof
CN102693233A (zh) 一种实现电子书签的方法及装置
JP2006277691A5 (ko)
CN107368407B (zh) 信息处理方法和装置
CN103198252B (zh) 用于管理便携式终端中的应用程序的控制信息的设备和方法
KR101603713B1 (ko) 부분 추출을 활용한 현장용 모바일 포렌식 방법
CN108776658A (zh) 基于位置服务的银行服务整合方法及系统
CN108009053A (zh) 智能手机核心数据管理和克隆方法
CN112035205A (zh) 数据处理方法、装置、设备和存储介质
KR101392624B1 (ko) 네트워크 통신에 기반을 둔 모바일 포렌식 방법
CN108834171B (zh) 画像方法及装置
KR20140121743A (ko) 행위 기반 시뮬레이션에 의한 모바일 포렌식 방법
CN111796733B (zh) 图像显示方法、图像显示装置和电子设备
KR20140121976A (ko) 로그 정보에 포함된 위치 정보 기반의 모바일 포렌식 방법
CN114428737A (zh) 基于微服务体系的通信方法、装置、设备及存储介质
KR20110070733A (ko) 네트워크 기반 원격 포렌식 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190305

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200305

Year of fee payment: 5