데이터 복구
최근에는 사용자 인식 높아져서 옵션 작동 잘 안될 수있음. 예를 들어 데탑에서 shift+delete하면 완전히 삭제가능..
데이터 복구는 기기에서 삭제된 데이터에 정상적으로 접근하지 못할 때 해당 데이터를 되찾는 과정임
할 때 주의할점
-휴대폰 압수 후 다른 용도로 사용 x
-휴대폰 사용안되고 있을 때도 데이터는 덮어쓰워질 수 있음을 명심
삭제된 파일 복구
모든 안드로이드 파일 시스템은 파일, 파일 이름 등의 계층에 대한 정보 담긴 메타데이터 가지고 있음
파일 석제는 실제 데이터 삭제가 아니라 파일 시스템 메타데이터만 삭제하는 거임
그래서 사용자한테는 안보이지만 삭제해도 데이터는 남아있게됨
SD 카드에서 삭제된 데이터 복구
외부 SD카드는 간단하다. 외부 저장소로 마운트해서 수집할 수 있음
Reno Recover for Android같은 툴 사용.
내장 메모리에서 삭제된 데이터 복구
안드로이드 내장 메모리에서 삭제된 파일을 복구하는 것은 모든 분석 도구에서 지원하는게 아니라서 수동 분석 필요할 수도 있음
내장 메모리에서 데이터 복구하려할 때 문제 발생할 수 있다.(루팅 시에 데이터 덮어씌워지거나, 복구 도구 동작 안됨 등등)
미가공 파티션에 접근하려면 루팅은 필수다
SQLite 파일 파신해서 삭제된 파일 복구
안드로이드는 대부분의 데이터 저장을 위해 SQLite 파일을 사용함
텍스트 메시지, 이메일 특정 앱 데이터와 관련된 데이터가 SQLite 파일에 저장됨. 삭제되면 활성화된 형탸로 나타나지는 않음
삭제된 데이터를 포함할수 있는 sqlite 페이지 내에서는 비할당 블록과 빈 블록 두가지 영역이 있음. 삭제된 데이터를 복구하는 대주분 상용도구는 비할당 블록이랑 빈 블록 검색..
'학회_공부해요 > 모바일포렌식' 카테고리의 다른 글
| 안드로이드 앱 분석과 포렌식 도구 개요 (3) | 2024.11.17 |
|---|---|
| 4주차 퀴즈 (0) | 2024.11.12 |
| 안드로이드 데이터 추출 기법 (1) | 2024.11.12 |
| 3주차 퀴즈 (0) | 2024.11.05 |
| 안드로이드 포렌식 셋업과 데이터 사전 추출 기법 (0) | 2024.11.05 |