DC 3.3 버전 이전 사용자가 M1 Mac에서 데이터를 추출하는 방법


* 현재 DigitalCollector 3.3 버전에서는 M1 Mac 에서의 데이터 추출을 지원하고 있습니다. 다른 도구나 구버전을 사용하는 이에게 제안하는 방법입니다.


최신의 M1 Mac들은 Intel Mac처럼 Target Disk Mode를 사용할 수 없습니다. 따라서, 이 임시방편에서는 'Disk Sharing Mode'를 사용할 것입니다.


노트- 2021년 8월 20일 기준, M1 Mac의 복호화된 물리 이미지를 생성하는 것은 아직 불가능한 일입니다. 현재까지 알려진 모든 임시 방편들은, Cellebrite 사 외의 도구들도 포함해서, 모두 논리적 추출을 시행합니다. M1 Mac의 데이터를 추출하는 법은 한 가지 이상입니다. 저희가 'Disk Sharing' 방법을 소개 하는 것은, 이 방법을 시행하는데 Digital Collector나 Macquisition 모두 사용할 수 있고, Rosetta 2 를 설치하지 않아도 되기 때문입니다. 일단 시작하기에 앞서, 'Disk Sharing'은 네트워크 프로토콜이라는 사실을 상기해 주시길 바랍니다. 네트워크 프로토콜을 사용하기에, 이 방법은 가장 간단한 방법도 아니고 가장 신속한 방법도 아닙니다. 이 방법은 어느 정도 인내를 필요로 하고, 호스트 Mac을 필요로 하며, 정품 Apple Thunderbolt 케이블이 필요합니다. 만약 이러한 것들이 준비되지 않은 상태시라면, Rosetta 2 를 M1 Mac에 설치하고 Digital Collector 3.2 버전을 실행하셔야 합니다.



추출 대상 Mac

  1. Mac 복원 모드(Recovery Mode)에 진입합니다. 전원 버튼을 startup manager 화면이 나타날 때까지 눌러주시면 복원 모드에 진입할 수 있습니다.

  2. 옵션(Options)버튼을 눌러 Apple 복원 도구 모음(Apple Recovery tools) 창을 불러옵니다.

  3. 유틸리티 메뉴를 클릭하고 'Share Disk...'을 선택합니다.

  4. Mac OS 내장 디스크(기본 값은 Macintosh HD입니다)를 선택하고 'Start Sharing'버튼을 누릅니다.

노트- 만약 M1 Mac이 FileVault 암호화를 탑재했다면, 복원 모드에서 사용자 로그인 패스워드 입력창이 나타날 것입니다.패스워드는 복원 모드 화면에서 한번, 'Share Disk' 선택할 때 또 한번, 총 2번 기입해야 합니다.

호스트 Mac(MacOS 10.14 혹은 그 이상)

5. 추출 대상 Mac을 아래의 3가지 Thunderbolt 케이블 옵션 중 하나를 선택하여 호스트 Mac에 연결한다. 1)TB 3 (USB-C) -> TB3 (USB-C) cable (http://https://www.apple.com/shop/product/MQ4H2AM/A/thunderbolt-3-usb%E2%80%91c-cable-08-m?fnode=8b) 2)TB 3 (USB-C) -> TB 2 cable (http://https://www.apple.com/shop/product/MD861LL/A/apple-thunderbolt-cable-20-m?fnode=8b) and adapter (http://https://www.apple.com/shop/product/MMEL2AM/A/thunderbolt-3-usb-c-to-thunderbolt-2-adapter?fnode=8b) 3)TB3(USB-C)->USB3.0 노트) 추출 대상 M1 Mac은 호스트 Mac에 읽기/쓰기 상태로 연결될 것입니다. 쓰기 전용으로 마운트 시키는 방법에 관해서는 아직 알려진 바가 없습니다


6. "Finder"창을 열고, "Go" 메뉴를 클릭하고 "Connect to Server"를 선택합니다.


7. "Browse"를 선택합니다. (이를 통해 사용자는 네트워크로 연결 가능한 기기를 볼 수 있습니다)


8. SMB(server message block)을 더블 클릭합니다.


9. MacOS는 "Registered User"의 사용자 ID와 패스워드를 묻는 참을 팝업 시킬 것입니다. 만약 해당 M1 Mac이 Filevault를 통한 암호화가 돼있지 않다면, 패스워드를 기입하시지 않고 "Guest"를 클릭하셔도 됩니다. 해당 M1 Mac에 Filevault가 적용됐다면, 사용자 ID와 패스워드를 기입하여 권한을 획득해주시길 바랍니다.


10. "Finder"창이 열릴 것이고, 추출 대상 Mac의 'Macintosh HD' 저장 공간이 디스플레이 될 것입니다.


11. Digital Colleter나 Macquisition을 실행시키시고, "Browse" 아이콘을 선택하세요.


12. 호스트 Mac의 'Macintosh HD' - Data - Volumes - Macintosh HD (M1 Mac Volume)에 들어가십시오.


13. 수집할 데이터 폴더를 선택하시고, 마우스 우 클릭을 한 뒤 'Add to Collection' 탭을 누릅니다.


14. 'Collection(수집)' 을 클릭하시고, 논리적 데이터 추출/수집을 시행하십시오.


중요) Disk Sharing은 네트워크 프로토콜이므로, 데이터 수집은 필연적으로 느리게 진행됩니다. 최선의 결과를 위해선, 매 수집 시 마다 수집 되는 데이터 양을 100GB 아래로 유지해주시고, 시스템 파일을 사용자의 데이터와 나누어 수집해주시길 바랍니다.


팁) MacOS Spotlight indexing은 사용되는 호스트 Mac의 자원을 사용할 수도 있습니다. System Preference -> System -> Privacy Tab 순으로 들어가 M1 Mac을 인덱싱 하는 Spotlight룰 작동 중지 시키기 위해 M1 Mac 저장 공간을 리스트로 드래그해 추가하십시오.




**아래의 내용은 포렌식 숙련자들을 위한 방법이며, Cellebrite의 기술 지원 팀은 이 방법을 보증하거나 지원하지 않습니다**


작성일자 2021년 8월 23일


Disk Sharing 모드는 네트워크 프로토콜이기에, 모든 파일에 대한 액세스를 허용하지 않습니다. 또한 데이터 수집이 느리기도 합니다. 현재, 일부 포렌식 숙련자들은 Digital Collector 3.3버전이 출시되기 전 까지, Apple에 제공하는 기능들로 M1 Mac 데이터를 수집하는 것을 고려하고 있습니다. Apple의 복원 유틸리티(Recovery Utilities)를 사용한, 아래의 두 가지 대체 방편을 통해, 조사원은 M1 Mac의 데이터를 추출할 수 있습니다. 이 방법은 Apple이 제공하는 기능이기에, 수집에 실패하더라도 Cellebrite의 기술 지원 범위가 아니며, 기술 지원 관리대상이 아닙니다.



대체방편 1) 복원 유틸리티(Recovery Utilities)를 사용하고 .sparseimage 파일을 생성하기

  1. M1 Mac을 Recovery Utilities 모드로 부팅 하십시오.(Options 화면이 뜰 때 까지 전원 버튼을 누르고 계시면 됩니다.)

  2. FileVault가 적용 중이라면, Data 저장 공간 잠금을 먼저 해제해야 할 필요가 있을 것입니다. 그러기 위해서는 2-1) Utilites를선택하시고 Terminal을선택하십시오. 그리고 다음의 명령어를 삽입 하십시오. diskutil apfs list 출력된 Data 저장공간의 지시 값 (volume designator(예시: disk3s5))를 기록합니다. 2-2) 그다음, 다음의 명령어를 삽입하십시오. diskutil apfs unlockVolume disk '저장 공간 지시 값(예시: 위의 dsik3s5)' 그럼 패스워드 입력 창이 팝업 될 것입니다. 패스워드를 기입하십시오.

  3. HFS+ 혹은 APFS 포맷의 디스크 저장장치를 연결합니다. (경고: exFAT 포맷은 사용하지 마십시오. DC 3.3에서는 exFAT을 지원합니다.)

  4. Disk Utility를 엽니다.

  5. File 탭을 누르고, New image-> Blank image를 선택합니다.

  6. Save 윈도우에: 6-1) Size 값을 추출 대상 데이터의 용량 값으로 변경합니다. 6-2) 포멧은 Mac Os Extended(Journaled)를 선택합니다. 6-3) Encryption은 none으로 설정합니다. 6-4) Partitions = Single and GUID 로 설정합니다. 6-5) Image Format은 sparse disk image로 설정합니다.

  7. Sparse disk image가 생성되고 마운트 되면, 당신이 생성한 새 sparse disk image의 이름을 기록하십시오.

  8. Disk Utility를 닫습니다.

  9. Terminal을 열고 다음의 명령어를 삽입합니다(replace <m1 mac> 과 <name of sparseimage>를 올바른 이름으로 변경하십시오): p -PRpvi /Volumes/<M1 Mac> /Volumes/<name of new sparseimage>

  10. 데이터 분석을 위해, sparseimage 파일을 Inspector(Blacklight)로 삽입시키십시오


혹은, 다음의 방법을 사용하십시오.



대체 방편 2) Disk Sharing 모드가 아닌 Recovery Utilities 모드를사용해서 .dmg 파일을 생성하기.

  1. M1 Mac을 Recovery Utilities 모드로 부팅 하십시오.(Options 화면이 뜰 때 까지 전원 버튼을 누르고 계시면 됩니다.)

  2. FileVault가 적용 중 이라면, Data 저장공간 잠금을 먼저 해제해야 할 필요가 있을 것입니다. 그러기위해서는 2-1) Utilites를선택하시고 Terminal을선택하십시오. 그리고 다음의 명령어를 삽입 하십시오. diskutil apfs list 출력된 Data 저장 공간의 지시 값 (volume designator(예시: disk3s5))를 기록합니다. 2-2) 그다음, 다음의 명령어를 삽입하십시오. diskutil apfs unlockVolume disk '저장 공간 지시 값(예시: 위의 dsik3s5)' 그럼 패스워드 입력 창이 팝업될 것입니다. 패스워드를 기입하십시오.

  3. HFS+ 혹은 APFS 포맷의 디스크 저장장치를 연결합니다. (경고: exFAT 포맷은사용하지 마십시오. DC 3.3에서는 exFAT을 지원합니다.)

  4. Disk Utility를 엽니다.

  5. File 탭을 누르고, New image-> Image from Folder 를 선택합니다.

  6. 원하시는 폴더를 선택하시고 DMG 파일로 변환(Convert to DMG) 옵션을 선택하십시오. 팁) 300GB나 그 이하의 폴더를 선택하는 것이 좋습니다.

  7. Save 윈도우에: 7-1) Save as 값을 name of the image(이미지 이름)으로 선택합니다. 7-2) Where 선택지는 external HFS+/APFS drive로 설정합니다. 7-3) Encryption 여부는 none(없음)으로 설정합니다. 7-4) Image Format은 read / write (읽기/쓰기) 방식으로 선택합니다.

  8. .dmg 파일을 Inspector나 지원하는 다른 도구들로 삽입합니다.


여러분은 위와 같은 방법으로 Mac으로부터 디지털 증거를 추출해내실 수 있습니다. 더 안전한 세계, 더 안전한 내일을 위해 노력해주시는 모든 분들께 도움이 되었길 바라며, 심심한 응원으로 해당 포스트를 마치겠습니다.



조회수 8회댓글 0개

최근 게시물

전체 보기