How to Detect Unparsed Applications in Cellebrite Physical Analyzer – Part 1

 By:Heather Mahalik - Senior Director of Digital Intelligence at Cellebrite

번역/편집 : CK Bloger




Cellebrite Physical Analyzer에서 구문 분석(Parcing)되지 않은 애플리케이션을 감지하는 방법 – 1 부

2020 년 3 월 30 일 | 작성자 : Heather Mahalik-Cellebrite 디지털 정보 담당 수석 이사

많은 App 프로그램들이 (특히 날씨 및 식당 찾기 앱) 위치를 추적한다는 것을 알고 있습니까? 또한 특정 시간/장소에 관심 있는 사람을 위해 피트니스 앱이 위치 정보를 사용할 수 있다는 것을 알고 있습니까?

포렌식 도구가 모든 애플리케이션을 지원하고 구문 분석하는 것은 불가능하지만, 구문 분석되지 않은 애플리케이션을 감지하는 것은 조사관의 책임입니다. 좋은 소식은 그것들을 감지하는 것이 생각만큼 어렵지 않다는 것입니다. 이번에는 이러한 앱을 식별하고 조사하는데 도움이 되는 팁을 제공합니다.





비디오 내용: 이번 주제의 마지막 부분에서 약간의 힌트를 제공했습니다. 우리는 “설치된 응용 프로그램”을 살펴 볼 때, 실제로 도구가 구문 분석하지 않은 관심 대상을 발견합니다. 여기에서 도구가 데이터를 구문 분석하지 않는 이유를 고려해야 합니다. 그리고 저는 항상 무뚝뚝하게 사람들에게 말합니다. “당신은 시간을 들여서 무엇을 얻으려 하죠?” 당신이 만약 지구상에서 스타 벅스 앱에서 누군가가 얼마나 많은 커피를 주문하는지 신경쓰는 사람이라면, 실제로 정보를 어떻게 분석해야 하는지 알게 될 것입니다. 바로 데이터베이스를 찾아 따라 가보는 것입니다.. 하지만 도구가 모르는 것이 있다면 어떨까요? 만약 당신이 자주 보게되는 앱이 분석되지 않으면 Cellebrite에 연락하여 이렇게 요청할 수 있다. “저기요, 이거 분석 좀(parcing) 해 줄 수 있을까요?” 이런 문의(Celebrite에게 파싱하기 위해 특정 앱을 요청 하는 피드백)가 없으면 Cellebrite 도구의 파싱은 늘 가장 인기 있고 중요하다고 판단되는 앱에 제한됩니다. 아래 그림을 보면 피트니스 앱 종류가 보입니다. “ MyFitnessPal ”과“ RunKeeper ” 라는 피트니스 관련 앱을 기기에서 찾았습니다.



RunKeeper 는 그 이름이 의미하는 바를 정확하게 수행합니다. 당신의 달리기를 추적합니다. 하지만 아시나요? 그것은 당신이 이제까지 뛰었던 모든 장소, 체중, 생일, 섹스 및 다른 많은 것들을 추적 할 수 있습니다. 이것은 조사관의 관점에서는 환상적입니다. 시체 옆에 전화가 있거나 유괴 현장에서 떨어진 전화를 찾은 경우 조사를 진행한다고 가정해 보십시오. 이 장치는 피해자가 누구인지 더 잘 이해할 수 있도록 많은 정보를 제공 할 수 있습니다. 아래에서 소스 파일을 보고 있는데, 이것은 리터럴(Literal) 파일과 RunKeeper에 대한 정보를 어떻게 알 수 있는지 알려줍니다.


이제 해야 할 일은 RunKeeper에 대한 빠른 키워드 검색을 수행하고 데이터베이스 파일을 찾는 것입니다. 이러한 데이터베이스 조사는 많은 가치가 있습니다.


RunKeeper를 클릭하면 “points” 라고 하는 정보가 포함된 놀라운 테이블을 찾을 수 있습니다.


위의 스크린 샷에서 볼 수 있는 것은 "time_at_point" 입니다. PA는 우리를 위해 이것을 스마트하게 변환시켜 줍니다. 즉 우리가 누군가를 조사하고 있는데, 2013 년 9월 13일 오후 12시 28분즘에 그들이 어디에 있는지 알아야 한다면, 우리는 이 데이터를 이용하여 해당시간의 위도, 경도, 고도를 알 수 있을 것입니다. 조사관에게 앱은 시간과 장소를 특정하는 데 큰 도움을 줄 수 있으므로, 건강 데이터, 운동 데이터 및 날씨 앱의 데이터 소스를 열어두고 문제가 발생한 시기를 파악할 때 탐색하는 것이 좋습니다.




조회수 12회댓글 0개