[디지털 포렌식 개론 6장] 디지털 증거 수집 기술

디지털 증거가 법정에서 허용되기 위해서는 원본을 있는 그대로 보존하면서 수집해야 한다. 

조사 대상 매체 파악

현장 보호 조치를 취한 후, 증거물을 파악한다. 

조사 대상 시스템 확보

1. 컴퓨터 시스템 확보

사건 현장에서 증거가 될 수 있는 모든 것을 확보해야 한다. 용의자가 사용한 시스템, 서버에 있는 사건 관련 데이터, 다양한 보조 기억 장치 등을 파악해야 한다. 조사 대상 시스템 내에는 하드 디스크 드라이브와 같은 다양한 저장 매체가 장착되어 있으며, 중요 증거물이 저장되어 있을 가능성이 크다. 하드 디스크 드라이브는 압수 이후에 이미징(imaging) 과정을 거쳐 사복은 획득한 후, 디스크 내에 존재하는 증거물을 분석한다. 

2. 기타 디지털 기기 수집

컴퓨터 외에도 다양한 디지털 기기에 데이터가 존재한다. 이러한 디지털 데이터 내에 사건의 실마리나 결정적인 증거가 저장되어 있을 가능성이 있기 때문에 주의 깊게 살펴보아야 한다. 

유의해아 할 디지털 기기는 별도의 저장 매체가 있는 프린터, 휴대폰, 네비게이션, 콘솔 게임기 등이 있다. 

3. 휴대용 저장 매체 확보

휴대용 저장 매체는 용의자가 휴대할 수 있는 저장 장치로써 자료 전달과 보관을 목적으로 하기 때문에 사건 관련 데이터가 많이 있으며 핵심 증거가 있을 가능성이 높다. 이러한 장치들은 점차 소형화되고 저장 용량이 커지면서 휴대용 저장 매체에 대한 수색이 점차 중요해지고 있다. 용의자들이 저장 매체를 은닉하기 위해 다양한 방법을 활요하므로 휴대용 저장 매체들이 은닉되어 있을 가능성을 인식하고 수색 때 물리 증거에 대해서도 주의 깊게 살펴봐야 한다.

 

활성 시스템 조사 

활성 시스템이란 정상적으로 가동 중인 시스템을 말한다. 활성 시스템에서는 전원이 차단되면 사라지는 정보인 휘발성 데이터와 전원의 존재 여부와 상관없이 장기적으로 유지되는 정보인 비활성 데이터를 모두 수집할 수 있다. 

최근 프라이버시에 대한 관심이 증가함에 따라 모든 데이터를 수집하는 이미징 보다는 사건관 관련된 데이터만 선별하여 수집하는 형태가 선호되고 있으며 하드 디스크의 용량이 증가하는 것도 이미징을 기피하는 한 요인이 되고 있다. 따라서 활성 상태에서 데이터를 수집하는 기술에 대한 요구가 증가할 것으로 예상된다.

활성 시스템은 악의적인 사용자에 의해 각종 명령어가 변경되어 있을 수 있기 때문에, 해당 시스템에 있는 명령어를 이용한 데이터 수집은 가능한 피하고 읽기만 가능한 매체에 시스템 조사를 위한 도구를 저장하여 사용해야 하며, 수집한 데이터를 저장하기 위한 별도의 매체가 존재해야 한다. 이를 위해 데이터수집 도구를 CD에 저장하고 수집한 데이터는 이동형 저장 장치에 저장하거나 네트워크를 이용하여 증거 수집 서버에 전송하는 방법이 있다. 다른 방법으로는 USB 플래시 드라이브의 일부 영역을 읽기만 가능한 CD File System으로 설정한 후, 증거 수집 도구를 저장하고, 수집한 데이터는 쓰기 가능한 영역에 저장하는 방식이 있다. 

활성 시스템을 조사할 때는 시스템에 영향을 미치기 때문에 다음 사항을 고려한다. 

• 휘발성 데이터 수집 필요성
• 활성 시스템에서 비휘발성 데이터의 수집 필요성
• 수집한 비휘발성 데이터와 원본의 동일성
• 수집 도구를 사용함으로써 시스템에 영향을 주는 요인

1. 물리 메모리 수집

물리 메모리는 시스템이 활성 상태이면 지속적으로 변화하기 때문에 가장 먼저 수집해야 한다. 이 부분에서는 IEEE-1394인터페이스를 이용하는 방식과 윈도우 시스템의 메모리를 수집하는데 효과적으로 알려진 소프트웨어인 DumpIt을 소개한다. 

1) IEEE - 1394 인터페이스

IEEE - 1394는 디지털 캠코더, HDTV 등의 영상 기기에 사용되는 시리얼 버스이다. 

IEEE - 1394를 통해 시스템의 메모리에 직접 접근할 수 있는 이유는 DMA(Direct Memory Access)를 사용하기 때문이다. DMA는 메인보드에 장착되어 있는 장치로 CPU의 처리 속도와 입출력 장치의 속도 차이를 개선하기 위해 사용된다. IEEE - 1394는 운영체제의 종류와 구동 상태에 관계없이 IEEE - 1394 장치가 활성화 되어 있으면 IEEE - 1394 장치를 연결해 명령을 전달할  수 있다. 이러한 점을 이용하면 시스템에 변화를 주지 않고 IEEE - 1394 단자를 연결하여 대상 시스템의 물리 메모리 영역을 수집할 수 있다. 

물리 메모리를 획득하기 위해서는 우선 그림과 같이 호스트 시스템과 획득 대상이 되는 타겟 시스템을 IEEE - 1394로 연결해야 한다. 호스트 시스템에는 타겟 시스템의 메모리 영역을 획득하기 위해 IEEE - 1394에 읽기 명령을 내리도로고 프로그램을 구성해야 한다. 

물리 메모리 획득을 위한 프로그램을 이용하여 타겟 시스템의 물리 메모리 영역을 획독하는 화면

또한, 사용자의 인증이 이루어져 있지 않거나 잠긴 상태의 윈도우 시스템의 경우, IEEE - 1394를 이용하면 인증 정보를 담고 있는 SAM Registry 영역의 값을 초기화하여 인증 과정을 우회할 수 있다. 혹은 인증에 사용되는 NTLM Hash를 수정하여 원하는 비밀 번호로 변경해 시스템에 로그인 할 수 있다. 

2) DumpIt

별도의 하드웨어가 정착되어 있지 않을 때는 물리 메모리에 접근할 수 있는 소프트웨어를 설치하여 데이터를 수집할 수 있다. 

활성 상태에서는 본질적으로 물리 메모리가 계속 변하기 때문에 특정 시점의 메모리 데이터를 있는 그대로 수집하는 것을 불가능하다. 따라서 훼손 정도가 가장 작은 도구가 우수하다고 할 수 있다. 이런 관점에서 소프트웨어 물리 메모리 수집 도구는 CLI 기반으로 개발된 도구를 사용하고 정적으로 컴파일된 명령을 사용함으로써 시스템에 있는 기본 명령어나 라이브러리를 사용하지 않아야 한다. 

윈도우용 물리 메모리 수집 도구는 현재까지 DumpIt이 안정적으로 동작하며 전 세계적으로 널리 사용되고 있다. DumpIt은 MoonSols 회사에서 개발한 물리 메모리를 수집할 수 있는 프리웨어 도구이다.

이 도구는 Matthieu Suiche가 개발한 오픈 소스 물리 메모리 수집 도구인 Wind32dd와 Win64dd를 결합하여 개발되었다. 따라서 이 도구는 Windows XP 이상에서 실행 가능하며 x86(32bit), x64(64bit) 두 가지 아키텍쳐에서 모두 정상 동작한다.

Dumplt을 실행시키면 나타나는 초기 화면으로 도구 실행 시 별도의 옵션이 없기 때문에 물리 메모리의 Raw 포맷 이미지(dd)만 수집할 수 있다. 물리 메모리 이미징을 시작하기 위해 "Are you sure you want to contin ue? [y/n]" 이라는 문구를 출력하고 사용자로부터 'y'키나 'n'키를 입력받을 때 까지 대기한다. 'y'키를 입력하면 바로 메모리 이미징을 시작하고, 'n'키를 입력하 면 "aborting..." 이라는 문구를 출력하며 프로그램을 종료한다. ctrl + '2' 키로 도 프로그램을 종료할 수 있다. 메모리 이미지 파일의 저장경로는 현재 Dumplt 프로그램이 있는 위치에 저장 되고 절대경로는 출력 화면의 " Destination" 부분에 명시되어 있다. 이미징이 완료되면 "Success." 라는 문구가 출력된다. 

2. 휘발성 데이터

휘발성 데이터는 시스템이 종료되면 확보하지 못하는 데이터로 활성 시스템 상태에서 가능한 빠르고 정확하게 확보하는 것이 중요하다. 특히 휘발성 증거 수집 과정 자체가 시스템의 상태를 변경할 수 있으므로, 이를 최소하하기 위해 수집 도구는 Commnad Line Interface의 사용을 권장한다. 또한, 시스템이 악성 코드에 의해 오염되어 있을 수 있으므로 읽기만 가능한 매체에서 실행되어야 한다. 

1) 프로세스 정보

시스템에 악영향을 미치는 프로그램이나 프로세스 선별을 비롯하여 현재 구동되고 있는 시스템의 메모리 상태를 파악하기 위해 프로세스 정보를 수집해야 한다. 수집할 세부정보는 프로세스 실행 파일의 전체 경로, 프로세스를 실행한 계정, 부모/자식 프로세스 관계, 프로세스가 로드한 동적 링크 라이브러리, 사용 중인 네트워크 연결 정보 등이 있다. 

전원을 차단하지 않을 경우, 종료된 프로세스가 일주일 이상 물리 메모리에 잔류하는 경우도 있기 때문에 덤프한 물리 메모리에서 프로세스에 관한 구조체를 검색하여 은닉 프로세스 탐지 및 이전에 실행한 프로세스 목록을 추출할 수 있다. 

2) 시스템 정보

시스템 정보에는 증거 수집 대상의 시간 기준을 확인할 수 있는 시간 정보, 시스템의 구동시간, 정보의 주체를 알 수 있는 계정정보, 수지해야 하는 디스크 정보가 존재한다. 

3) 네트워크 정보

네트워크 정보는 현재 네트워크 연결 및 사용정보를 바탕으로 비인가 접속을 판별하기 위해 수집해야 한다. 

3. 비휘발성 데이터

비휘발성 데이터는 전원을 차단해도 사라지지 않는 데이터를 의미한다. 비휘발성 데이터의 수집은 시스템을 종료시키지 못하는 환경에서 활성 시스템에서 직접 수집할 수도 있지만, 원칙적으로는 쓰기 방지 장치를 부착하여 수집한다. 또한, 조사에 많은 시간이 소요된다면 데이터 선별을 통해 사건관 관련된 비휘발성 데이터만을 수집하기도 한다.

윈도우 시스템 : 레지스토리에 사용자 활동정보, 네트워크 정보 등을 저장하고 있어 레지스트리만으로도 유용한 정보를 많이 획득할 수 있다. 또한 활성 상태에서는 자동 암호화 기능인 EFS(Encrypted File System)에 접근 가능하고 계정 패스워드가 있어야만 접근 가능하도록 설정된 보호 기능을 우회할 수 있다.

리눅스 시스템 : 운영체제 차원의 데이터베이스 파일이 없기 때문에 포렌식 관련 여러 설정 정보를 각 환경 설정 파일을 통해 얻어야 한다. 

4. 활성 시스템 데이터 수집 도구 

활성 시스템에서의 휘발성 데이터와 비휘발성 데이터는 환경에 따라 다르기 때문에 활성 시스템 데이터 수집 도구는 이러한 특징을 고려하여 개발해야 한다.

휘발성 데이터 수집 시, 별도의 하드웨어를 사용하지 않고 소프트웨어로 수집하면 시스템 상태의 변경은 불가피 하다.따라서 GUI 사용을 줄이고 Command Line Interface의 사용을 권장한다. 또한, 각종 명령어가 변경될 수 있는 가능성을 고려해 읽기만 가능한 매체에서 실행할 것을 권장한다.

윈도우즈 활성 시스템 데이터 수집 도구 : CLDFS(Commnad line Live Data Forensics)

• CLDFS는 CLI 기반으로 동작하는 프로그램
• 수집 대상 중에서 수집할 데이터 옵션을 설정하고 저장 경로를 선택하면 해당 경로로 csv파일이 출력

모든 파일 추출 옵션인 "mpret"로 실행한 데이터 추출 화면

csv 파일은 가독성이 떨어지기 때문에 CLDFS_Viewer를 통해 GUI 환경에서 결과를 확인할 수 있다. CLDFS_Viewer는 크게 시스템 정보, 네트워크 정보, 프로세스 및 모듈, 서비스 목록, 스프트웨어 목록, 하드웨어 목록, Logs를 확인할 ㅅ ㅜ있다. 

3. 저장 매체 이미징

대부분의 증거물이 하드 디스크에 보관되어 있다. 따라서 디지털 포렌식 조사를 할 때에는 하드 디스크의 원본을 보존하는 것이 매우 중요하다. 하드 디스크 드라이브를 수집하면 원본 보존과 추후 분석을 위해 모든 데이터를 있는 그대로 복제하는데, 이러한 과정을 이미징(imaging)이라 한다.

1. 디스크 이미지 

디스크 이미지 : 원본 디스크에 저장되어 있는 정보의 모든 비트 스트림을 포함하는 사본 파일 

디스크 이미지 파일을 생성하는 대표적인 소프트웨어로는 UNIX의 'dd'가 있다. dd는 원본 디스크를 있는 그대로 하나의 파일로 생성하기 때문에 raw 이미지라고도 한다. 

또한, 하드웨어 기반 이미지 생성 도구로 하나의 하드 디스크에서 다른 하드 디스크로 비트 단위 복사를 지원하는 하드웨어가 있다. 대표적으로 DIBS Rapid Action Imaging Device 등이 있다. 

2. 디스크 이미지 생성 

디스크 이미징 작업은 원본 데이터에 대한 손상을 방지하는 작업 과정이다. 디스크 이미지 생성은 2가지의 경우로 나눌 수 있다. 

1. 조사 대상 시스템에서 Bootable CD를 활용한 디스크 이미징

조사 대상 시스템으로부터 저장 매체를 분리하지 않은 상태에서 이미징 하려면 Bootable CD를 활용한다.

Bootable CD : 물리 메모리만을 이용해 시스템을 부팅할 수 있게 운영체제를 저장한 CD 

이를 사용해 부팅한 경우 기존 시스템에 부착되어 있던 저장 매체를 읽기 전용으로 마운트 가능, 데이터의 무결성을 손상시키지 않고 이미징 가능

여기서는 널리 사용되는 Bootable CD인 Helix를 사용하여 과정을 소개한다. Helix에는 디지털 포렌식, 침해 사고 대응 관련 목록을 포함한다. 조사 과정에서 용도에 따라 탑재된 도구를 사용하여 데이터를 확인 또는 수집할 수 있다. 

디스크 이미징 도구에는 dd, Adepto, LinEn 등이 포함되어 있다. 'Adepto'는 디스크 이미징을 위해 'dd'를 기반으로 기능을 향상시킨 'dcfldd'를 사용한다. 

2. 조사용 시스템에서의 디스크 이미징 

조사 대상 시스템에서 저장 매체를 분리한 후, 조사용 시스템에 부착해서 이미징을 하기 위해서는 쓰기 방지 장치와 함께 이미징 기능을 갖춘 전용 도구를 사용한다. 

윈도우 시스템에서의 이미징 도구 

• FTK Imager : FTK에서 개발한 AccessData에서 제공하는 무료 이미징 도구                                                                    로컬 하드 디스크, 플로피 디스크, CD, DVD 등에서 이미지 파일 생성 가능                                                                      AES 암호 알고리즘을 사용하여 이미지 파일 암호화 가능                                                                                              특정 포맷의 이미지 파일을 다른 포맷으로 변화하는 기능, 특정 파일의 해쉬값 계산 기능 등 많을 기능을 제공한다.

리눅스 시스템에서의 이미징 도구

• dd (disk dump) : GUN dd라고도 불리는 가장 오래된 CLI 기반의 이미지 도구 중 하나                                                    이미징 대상 저장 매체의 모든 물리적인 섹터를 파일 형태로 만든다.                                                                            여러 운영체제에서 사용 가능하고 이미징 결과는 여러 디지털 포렌식 이미징 도구에서 인식 가능한                              RAW image 파일로 생성되어 거의 대부분의 디지털 포렌식 이미징 도구에서 사용되고 있다.                                          최근에는 이미지 파일의 손상을 줄이기 위해 EWF 를 사용하기도 한다. 

4. 임베디드 시스템 증거 확보

1. 휴대폰

휴대폰 같은 임베디드 시스템은 장치 내부의 메모리에 직접 접근 가능한 인터페이스가 없기 때문에 모든 데이터를 수집하기 어려우며, 파일 또는 컨텐츠만을 수집하는 경우가 있다. 

1. 물리적 수집 방법

하드 디스크 이미징처럼 증거를 수집하기 위해 원본 장치의 저장 매체를 bit-by-bit로 복사하는 방식으로 완벽히 동일한 사본을 얻을 수 있다. 따라서 미할당 영역과 파일의 메타정보를 획득할 수 있는 장점을 가지고 있다. 

 

1 - JTAG을 이용한 물리적 증거 수집

JTAG은 하드웨어 보드를 디버깅하기 위해 개발된 표준이다. 

하드웨어 보드에 내장되는 프로그램은 어떤 부분에서 문제가 발생하는지 알기 어렵기 때문에 이러한 어려움을 해결하기 위해 하드웨어 보드를 표준화된 로직과 테스트를 위한 핀을 내정하도록 한 것이 JTAG이다.

임베디드 기기를 JTAG 에뮬레이터에 연결하고 에뮬레이터를 다시 PC에 연결하여 사용한다. 연결된 PC에서 JTAG 인터페이스로 메모리를 읽는 명령을 전송함으로써 연결된 시스템의 Internal Core Logic를 제어하여 메모리를 읽을 수 있다. 

JTAG은 산업 표준으로써 모든 임베디드 기기에 적용할 수 있지만 펌웨어 노출 위험으로 JTAG 인터페이스를 차단하거나 숨긴다. 따라서 이 방법은 보편적으로 사용될 수 없다. 

 

2 - 플래시 메모리 분리 후 물리적 증거 수집 

임베디드 기기의 데이터는 보드에 장착되어 있는 플래시 메모리에 저장되어 있기 때문에 플래시 메모리를 분리하여 메모리 리더기로 데이터를 수집할 수 있다. 분리된 메모리는 접착 부분의 핀의 손상 가능성이 매우 높기 때문에 메모리 리더기를 통해 읽기 전에 손상된 핀을 복원하는 리볼링 과정을 거쳐야 한다. 리볼링이 완료된 메모리는 플래시 메모리 리더기를 이용하여 PC로 전송하거나 다른 저장 매체에 저장할 수 있다.

2. 논리적 증거 수집 방법

논리적 수집 방법은 물리적 수집과 달리 메타데이터와 미할당 영역을 제외한 파일 또는 파일의 컨텐츠를 복사하는 방법이다. 

1 - 파일 단위 접근 

파일 단위의 접근 방식은 USB 통신 프로토콜 또는 제조사에서 제공하는 파일 접근 USB 명령을 통해 파일을 가져오는 방식이다.

일반적으로 PC에서 임베디드 기기내의 디렉터리에 대한 정보 요청 후, 디렉터리에 대한 접근 권한을 획독한 후, 파일의 목록을 받는다. 파일 목록을 받았다면 해당 파일에 접근할 수 있는 권한을 획독하여 파일의 내용을 전송받는다. 

2 - 컨텐츠 단위 접근 

컨텐츠 단위 접근 방식은 제조사에서 제공하는 PC-Link 소프트웨어를 이용한다. 소프트웨어는 각 제조사의 기기에 맞는 USB 드라이버가 포함되어 있어 모든 기기에 적용 가능하다. 따라서 증거 획득 기술에서 가장 범용적으로 확인 가능하나, 획득할 수 있는 데이터가 임베디드 기기의 화면을 통해서도 확인할 수 있는 데이터이기 때문에 매우 제한적이다. 

3 - 백업 소프트웨어를 통한 접근

임베디드 기기는 PC와 연계하여 사용할 수 있도록 백업 기능 또는 동기화 기능을 제공한다. 이러한 동기화 기능은 사용자의 모바일 기기에 변화가 생기는 경우에 동일한 정보를 PC에 저장하고, 사용자가 인터넷을 통해 다운로드 받았거나 PC에서 수정을 가한 경우에는 이를 임베디드 기기에 반영한다. 따라서 백업 소프트웨어를 통해 임베디드 기기에 저장되어 있는 데이터 수집이 가능하다. 

2. 스마트폰

1. 물리적 수집 방법

휴대폰과 마찬가지로 JTAG, 플래시 메모리 분리 방법이 존재한다. 하지만 JTAG 방법은 스마트폰 메인보드에 JTAG 인터페이스가 존재해야 하기 때문에 이 방법을 사용할 수 있는 기종이 한정적이다. 

스마트폰에는 휴대폰과 달리 AP 명령어을 이용하여 플래시 메모리 데이터를 수집하는 방법을 사용할 수 있어, 운영체제 관리자 권한을 획득하여 플래시 메모리 데이터를 이미징하는 방법도 존재한다. 

 

1 - JTAG을 이용한 물리적 증거 수집

JTAG을 이용한 물리적 증거 수집을 수행하기 위해서는 JTAG 인터페이스가 존재해야 하기 때문에 몇 개의 기종만 JTAG을 이용한 데이터 수집이 가능하다. 

물리적 증거를 수집하기 위해 스마트폰의 메인보드에서 JTAG 인터페이스를 찾아내고, JTAG 인터페이스와 디버깅 장비를 연결하여 전력을 공급한다. 이후 디버깅 모드로 진입하여 플래시 메모리 내부 데이터를 이미징한다.

- 장점

• 시스템 부팅 전에 플래시 메모리를 수집하므로 무결성 유지가 가능하다
• JTAG 인터페이스가 존재하는 모든 임베디드 기기에 사용 가능하다
• 수집 대상 데이터를 선택적으로 수집 가능하다. 

 

- 단점

• 데이터 수집 중 JTAG인터페이스가 분리되거나 디버깅 모드 진입에 실패하여 스마트폰이 정상 부팅되는 경우 무결성이 훼손될 수 있다. 
• JTAG을 이용한 데이터 수집 소요 시간은 플래시 메모리 성능에 의해 좌우되므로 시간이 많이 소요된다. 

 

2 - 플래시 메모리 분리 후 물리적 증거 수집

물리적 증거 수집 방법은 휴대폰에서의 방법과 동일하다.

- 장점 

• 플래시 메모리를 물리적으로 분리하기 때문에 데이터의 무결성 유지가 가능하다
• 모든 임베디드 기기에 사용 가능하다.

- 단점

• 메인보드에서 분리한 후에는 재결합이 어렵기 때문에 원상 복구가 필요 없는 상황에서만 가능하다
• 플래시 메모리 전체 영역에 대해서만 수집 가능하기 때문에 선택적 데이터 수집이 불가능하다

3 - AP(Application Processor) 명령어를 사용한 물리적 증거 수집

안드로이드 스마트폰에서는 AP 명령어를 이용하여 플래시 메모리 데이터를 수집하는 방법이 존재한다. AP 종류에 따라 메모리의 특정 영역을 read/write하는 명령어를 사용할 수 있다. read/write가 존재하지 않는 AP를 사용하는 안드로이드 스마트폰에서는 특정 부트로더가 로딩되는 시점에서 물리 메모리 영역에 read/write 명령어를 업로드하고 버퍼오버플로우를 발생시켜 플래시 메모리 데이터를 수집할 수 있다. 

- 장점

• 부트로더 로딩 단계에서 플래시 메모리 데이터를 수집하기 때문에 수집된 데이터에 대한 무결성 유지가 가능하다.
• 동일한 AP 종류를 사용하는 스마트폰에 대해 동일한 방법으로 데이터를 수집할 수 있다.
• 데이터 수집에 USB 통신을 사용하기 때문에 JTAG보다 상대적으로 전송 속도가 빠르다.

- 단점

스마트폰마다 사용하는 AP종류가 다양하고 새로운 AP가 자주 출시되어 새로운 스마트폰에 대한 대응이 어렵다.

4 - Rooting (Jailbreaking) 방법을 사용한 물리적 증거 수집 

스마트폰 운영체제의 관리자 권한을 획득하여 플래시 메모리 데이터를 수집하는 방법이다.

• 안드로이드에서는 

1. 안드로이드 커널 또는 외부 시스템과의 연결을 위해 사용하는 ADB프로트콜의 취약점을 공격하는 exploit을 사용하여 일시적 또는 영구적으로 관리자 권한을 획득하는 방법이다. 

2 안드로이드 다운로드 모드에서 원본 리커버리 커널을 관리자 권한을 가진 수정된 리커버리 커널로 덮어쓰고 해당 수정된 리커버리 커널을 사용하여 리커버리 모드로 부팅함으로써 관리자 권한을 획득하는 방법이다. 

• 아이폰에서는

아이폰의 AP 취약점을 공격하는 jailbreak 도구를 사용하여 iOS의 관리자 권한을 획득하는 방법이다. 

2. 논리적 수집 방법

논리적 수집 방법은 휴대폰과 마찬가지로 파일시스템의 메타데이터와 미할당 영역을 제외한 파일 또는 파일의 컨텐츠를 복사하는 방법이다. 

1 - Rooting (Jailbreaking) 방법을 사용한 파일 단위 수집 

물리적 수집 방법과 동일한 방법을 사용하여 안드로이드폰과 아이폰에서의 관리자 권한을 획득한 후, 내부 데이터를 파일 단위로 수집하는 것이다.

2 - 운영체제 제공 기능을 사용한 파일 또는 컨텐츠 단위 수집 

안드로이드 운영체제는

자체 백업 기능과 데이터 공유 기능을 통해 파일 또는 컨텐츠 단위 수집이 가능하다. 백업된 파일의 내용을 확인하기 위해서는

그림과 같이 명령어를 통해 언팩을 수행해야 한다,

3 - 백업 소프트웨어를 통한 파일 또는 컨텐츠 단위 수집 

스마트폰도 휴대폰과 마찬가지로 기기 내부 데이터를 PC와 연동하여 관리할 수 있도록 백업 또는 동기화를 수행하는 소프트웨어가 존재한다. 

이는 삼성, LG, 아이폰마다 다양하다. 

삼성 백업 내용

-장점

• 안드로이드의 경우 Rooting이나 exploit을 삽입하지 않고 스마트폰 내부 데이터의 컨텐츠를 수집할 수 있다
• 아이폰의 경우 Jailbreaking을 수행하지 않고 내부 파일을 수집할 수 있다.

-단점

• 안드로이드 폰의 경우 특정 앱데이터만 수집이 가능하다
• 스마트폰이 활성화 상태여야만 수행이 가능하기 때문에 네트워크 차단에 유의해야 하며 데이터 훼손이 발생할 수 있다.