SlideShare a Scribd company logo

(120128) #fitalk android forensics lock protection

INSIGHT FORENSIC
INSIGHT FORENSIC

2012 F-INSIGHT TALK

Technology
1 of 26
Download to read offline
FORENSICINSIGHT SEMINAR Android Forensics: Lock Protection Posquit0 pbj92220@postech.ac.kr http://posquit0.com I Can Do It!!
forensicinsight.org Page 2 / 26 개요  안드로이드의 내부적인 Lock에 대해 알아보고 안젂성을 확인한다.  어플리케이션에서 사용하는 자체적인 Lock에 대해 알아본다.
forensicinsight.org Page 3 / 26 INDEX 1. Android Lock 2. Android Pattern Lock 3. Android PIN / Password Lock 4. Application Lock
forensicinsight.org Page 4 / 26 Android Lock
forensicinsight.org Page 5 / 26 Android Lock  잠금(Lock) • 제 3자가 특정 컨텐츠에 접근하지 못하도록 특수한 장치를 해두는 것  자물쇠  도어락  안드로이드의 패턴 잠금  안드로이드의 PIN / Password 잠금  어플리케이션에서 제공하는 잠금 • KAKAO TALK’s Lock  … … Lock 이란?
forensicinsight.org Page 6 / 26 Pattern Lock
forensicinsight.org Page 7 / 26 Pattern Lock  Android 기반 스마트 폰의 화면 잠금을 풀기 위해 사용하는 새로운 방법  9개의 점 중에서 최소 4개 이상의 점을 연결하여 특정 패턴을 사용 • 각 점에 숫자를 대입하면 이해하기 쉽다.  경우의 수가 한정 • 같은 점을 두 번 이상 지나지 못한다. • 총 895,824의 경우의 수가 존재한다. 패턴 잠금이란?
forensicinsight.org Page 8 / 26 Pattern Lock  Android 상의 Pattern Lock에 관한 데이터 파일  /data/system/ 폴더에 존재  Lock Sequence가 SHA-1 Hash 알고리즘으로 암호화되어 저장 • Original Sequence로 되돌릴 수 있는 역함수가 존재하지 않는다.  복호화가 불가능할까?  895,824 라는 적은 경우의 수를 가짐 • 레인보우 테이블을 작성하여 복호화가 가능! gesture.key 0000h: FF EC 1E 70 D1 13 B0 B9 6C 7E 6C B2 B3 34 60 E2 ÿì.pÑ.°¹l~l²³4`â 0010h: 44 07 A9 6E D.©n
forensicinsight.org Page 9 / 26 Pattern Lock • 895,824개의 경우의 수에 대한 해시 테이블 작성 • Original Sequence는 0x00~0x08 의 헥스 값으로 구성 Rainbow table
forensicinsight.org Page 10 / 26 Pattern Lock  레인보우 테이블의 구성 • 사람들에게 친숙한 1~9 로 이루어진 Sequence • SHA-1 Hash 복호화된 Original Sequence • SHA-1 Hash Value Oxygen-forensic’s Rainbow Table 1234;00 01 02 03;A02A05B025B928C039CF1AE7E8EE04E7C190C0DB 1235;00 01 02 04;6E36A9BFACF6C4637D64042B11CB78BFDDAF8BF3 1236;00 01 02 05;101B2A675E9FB9546336D5B9EF70418B594184F4 1237;00 01 02 06;30F26B9825EA6F2EF6DBF6A88959774314D83F65
forensicinsight.org Page 11 / 26 Pattern Lock  패턴 잠금 설정  레인보우 테이블을 이용하여 패턴 추출 Demo
forensicinsight.org Page 12 / 26 PIN / Password Lock
forensicinsight.org Page 13 / 26 PIN / Password Lock  Android 기반 스마트 폰의 화면 잠금을 풀기 위해 사용하는 고젂적인 방법  10개의 숫자를 이용하여 길이가 4인 Number Sequence를 사용  경우의 수가 한정 • 같은 숫자를 여러 번 사용할 수 있다. • 총 10,000의 경우의 수가 존재한다. PIN Lock이란?
forensicinsight.org Page 14 / 26 PIN / Password Lock  Android 기반 스마트 폰의 화면 잠금을 풀기 위해 사용하는 방법 중에 하나  숫자와 문자 모두 사용 가능  경우의 수가 무한정 • 같은 문자를 여러 번 사용할 수 있다. • 길이에 제한이 없다. Password Lock이란?
forensicinsight.org Page 15 / 26 PIN / Password Lock  안드로이드 상의 PIN / Password에 관한 데이터 파일 • 두 가지 잠금에 대한 데이터 파일의 이름이 동일  /data/system/ 폴더에 존재  Lock Sequence가 SHA-1 Hash 알고리즘으로 암호화되어 저장 • 패턴 잠금과 동일 password.key 667A90B331338288A2F115DF9D1EF73BEC05F48A4FF1FFFC0646ACFACE60B6E3D9249261
forensicinsight.org Page 16 / 26 PIN / Password Lock  PIN의 경우: 10,000 라는 적은 경우의 수 • Make a rainbow table !  Password의 경우: 무한정한 경우의 수 • It is impossible ! password.key
forensicinsight.org Page 17 / 26 Application Lock
forensicinsight.org Page 18 / 26 Application Lock  어플리케이션 자체에서 잠금 기능을 지원  Example: • 카카오 톡 • 틱톡 • 마이피플 • … 어플리케이션 잠금
forensicinsight.org Page 19 / 26 Application Lock  보통 PIN / Password 방식의 잠금 기능을 사용  암호에 대한 저장 공간과 암호화 방법이 필요 어플리케이션 잠금
forensicinsight.org Page 20 / 26 Application Lock  “/data/data/package_name/shared_prefs/*.xml” • 어플리케이션에서 사용하는 기본 홖경 설정 파일 • 홖경 변수에 대한 값들이 저장되어 있음 • 잠금 암호의 저장소로 많이 사용 • 자동 로그인에 대한 정보도 있을 수 있음 • 폴더 명은 바뀔 가능성 있음 • 파일 명은 사용하는 홖경변수 함수에 따라 달라짐 암호 저장 공간
forensicinsight.org Page 21 / 26 Application Lock  “/data/data/package_name/databases/*.db • 어플리케이션이 사용하는 SQLite 데이터 베이스 파일 • 사용하는 일련의 데이터를 저장하는 공갂 • 잠금 패스워드를 저장하는 공갂으로도 사용 가능 암호 저장 공간
forensicinsight.org Page 22 / 26 Application Lock  대부분의 어플리케이션이 잠금에 대한 암호화를 하지 않음 • 평문으로 저장된 어플리케이션이 많이 존재  암호화를 할 경우, MD5 또는 SHA-1 알고리즘을 많이 사용 • 하지만, 대부분 PIN 방식을 사용 • 적은 경우의 수를 가짐  레인보우 테이블을 작성하여 복호화 가능 암호 방식
forensicinsight.org Page 23 / 26 Problems  모든 잠금에 대한 데이터 파일이 로컬에 저장 • 복호화를 하지 않아도 접근이 가능  잠금에 대한 데이터 파일을 삭제시키면 잠금이 풀리기 때문  패턴 잠금의 경우, 화면에 남은 지문의 움직임을 통해 풀릴 가능성
forensicinsight.org Page 24 / 26 질문 및 답변
forensicinsight.org Page 25 / 26 참고 자료 1. Forensic focus Android forensics study of password and pattern lock protection
forensicinsight.org Page 26 / 26 NEXT  Android Forensics: From Decompilation To Reversing • 다루는 내용  APK 파일 디컴파일 • DEX 포맷 구조 • DEX to Jar 디컴파일 • Jar to Java 디컴파일 • DEX to Smali 디컴파일  Re-packaging  Reversing  …

Recommended

(130413) #fitalk discussion, network security forensics
(130413) #fitalk discussion, network security forensics(130413) #fitalk discussion, network security forensics
(130413) #fitalk discussion, network security forensics
INSIGHT FORENSIC
 
Audience Research
Audience ResearchAudience Research
Audience Research
Abbie Waterson
 
Gdz geometriya roganin
Gdz geometriya roganinGdz geometriya roganin
Gdz geometriya roganin
Lucky Alex
 
Aliment saludguiafamilias 2007
Aliment saludguiafamilias 2007Aliment saludguiafamilias 2007
Aliment saludguiafamilias 2007
Pablo Centella Muñoz
 
Cryptology Presentation
Cryptology PresentationCryptology Presentation
Cryptology Presentation
ahmad bassiouny
 
PREVIEW OF EMT/EMR SCENE SIZE UP POWERPOINT TRAININGPRESEENTATION
PREVIEW OF EMT/EMR SCENE SIZE UP POWERPOINT TRAININGPRESEENTATIONPREVIEW OF EMT/EMR SCENE SIZE UP POWERPOINT TRAININGPRESEENTATION
PREVIEW OF EMT/EMR SCENE SIZE UP POWERPOINT TRAININGPRESEENTATION
Bruce Vincent
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
INSIGHT FORENSIC
 

Recommended

(130413) #fitalk discussion, network security forensics
(130413) #fitalk discussion, network security forensics(130413) #fitalk discussion, network security forensics
(130413) #fitalk discussion, network security forensics
INSIGHT FORENSIC
 
Audience Research
Audience ResearchAudience Research
Audience Research
Abbie Waterson
 
Gdz geometriya roganin
Gdz geometriya roganinGdz geometriya roganin
Gdz geometriya roganin
Lucky Alex
 
Aliment saludguiafamilias 2007
Aliment saludguiafamilias 2007Aliment saludguiafamilias 2007
Aliment saludguiafamilias 2007
Pablo Centella Muñoz
 
Cryptology Presentation
Cryptology PresentationCryptology Presentation
Cryptology Presentation
ahmad bassiouny
 
PREVIEW OF EMT/EMR SCENE SIZE UP POWERPOINT TRAININGPRESEENTATION
PREVIEW OF EMT/EMR SCENE SIZE UP POWERPOINT TRAININGPRESEENTATIONPREVIEW OF EMT/EMR SCENE SIZE UP POWERPOINT TRAININGPRESEENTATION
PREVIEW OF EMT/EMR SCENE SIZE UP POWERPOINT TRAININGPRESEENTATION
Bruce Vincent
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
INSIGHT FORENSIC
 
Jute fiber
Jute fiberJute fiber
Jute fiber
Farhan ullah baig
 
Peta alir kosong
Peta alir kosongPeta alir kosong
Peta alir kosong
Ieyfhaerinie If
 
Caesar cipher
Caesar cipherCaesar cipher
Caesar cipher
Ramadhi Irawan
 
form 1 Pantun
form 1 Pantunform 1 Pantun
form 1 Pantun
jenniferho0830
 
Rbt tahun 5 2015
Rbt tahun 5 2015 Rbt tahun 5 2015
Rbt tahun 5 2015
shah1979
 
Soalan RBT Tahun 6 Penggal 1
Soalan RBT Tahun 6 Penggal 1 Soalan RBT Tahun 6 Penggal 1
Soalan RBT Tahun 6 Penggal 1
syidatul izzati
 
Coronel Souza Aguiar
Coronel Souza AguiarCoronel Souza Aguiar
Coronel Souza Aguiar
Partitura de Banda
 
multi-thread 어플리케이션에 대해 모든 개발자가 알아 두지 않으면 안 되는 것
multi-thread 어플리케이션에 대해 모든 개발자가 알아 두지 않으면 안 되는 것multi-thread 어플리케이션에 대해 모든 개발자가 알아 두지 않으면 안 되는 것
multi-thread 어플리케이션에 대해 모든 개발자가 알아 두지 않으면 안 되는 것
흥배 최
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
INSIGHT FORENSIC
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
INSIGHT FORENSIC
 
Hideroot - Inc0gnito 2016
Hideroot - Inc0gnito 2016Hideroot - Inc0gnito 2016
Hideroot - Inc0gnito 2016
perillamint
 
[16]Obfuscation 101 : 난독화, 프로가드, R8, 트랜스포머 API
[16]Obfuscation 101 : 난독화, 프로가드, R8, 트랜스포머 API[16]Obfuscation 101 : 난독화, 프로가드, R8, 트랜스포머 API
[16]Obfuscation 101 : 난독화, 프로가드, R8, 트랜스포머 API
NAVER Engineering
 
오픈스택! 이틀이면할수있다! 시즌2
오픈스택! 이틀이면할수있다! 시즌2오픈스택! 이틀이면할수있다! 시즌2
오픈스택! 이틀이면할수있다! 시즌2
Nalee Jang
 
Codegate 2013 Junior - Music Player Exploit
Codegate 2013 Junior - Music Player ExploitCodegate 2013 Junior - Music Player Exploit
Codegate 2013 Junior - Music Player Exploit
sweetchip
 
[ETHCon Korea 2019] Kim hyojun 김효준
[ETHCon Korea 2019] Kim hyojun 김효준[ETHCon Korea 2019] Kim hyojun 김효준
[ETHCon Korea 2019] Kim hyojun 김효준
ethconkr
 
Macro for Game
Macro for GameMacro for Game
Macro for Game
Jeong-Hoon Mo
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
시온시큐리티
 
[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
Taekyu Lim
 
File Signature Defender
File Signature Defender File Signature Defender
File Signature Defender
경엽 이
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
INSIGHT FORENSIC
 

More Related Content

Viewers also liked

Viewers also liked (7)

Jute fiber
Jute fiberJute fiber
Jute fiber
 
Peta alir kosong
Peta alir kosongPeta alir kosong
Peta alir kosong
 
Caesar cipher
Caesar cipherCaesar cipher
Caesar cipher
 
form 1 Pantun
form 1 Pantunform 1 Pantun
form 1 Pantun
 
Rbt tahun 5 2015
Rbt tahun 5 2015 Rbt tahun 5 2015
Rbt tahun 5 2015
 
Soalan RBT Tahun 6 Penggal 1
Soalan RBT Tahun 6 Penggal 1 Soalan RBT Tahun 6 Penggal 1
Soalan RBT Tahun 6 Penggal 1
 
Coronel Souza Aguiar
Coronel Souza AguiarCoronel Souza Aguiar
Coronel Souza Aguiar
 

Similar to (120128) #fitalk android forensics lock protection

[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
Taekyu Lim
 

Similar to (120128) #fitalk android forensics lock protection (12)

multi-thread 어플리케이션에 대해 모든 개발자가 알아 두지 않으면 안 되는 것
multi-thread 어플리케이션에 대해 모든 개발자가 알아 두지 않으면 안 되는 것multi-thread 어플리케이션에 대해 모든 개발자가 알아 두지 않으면 안 되는 것
multi-thread 어플리케이션에 대해 모든 개발자가 알아 두지 않으면 안 되는 것
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
 
Hideroot - Inc0gnito 2016
Hideroot - Inc0gnito 2016Hideroot - Inc0gnito 2016
Hideroot - Inc0gnito 2016
 
[16]Obfuscation 101 : 난독화, 프로가드, R8, 트랜스포머 API
[16]Obfuscation 101 : 난독화, 프로가드, R8, 트랜스포머 API[16]Obfuscation 101 : 난독화, 프로가드, R8, 트랜스포머 API
[16]Obfuscation 101 : 난독화, 프로가드, R8, 트랜스포머 API
 
오픈스택! 이틀이면할수있다! 시즌2
오픈스택! 이틀이면할수있다! 시즌2오픈스택! 이틀이면할수있다! 시즌2
오픈스택! 이틀이면할수있다! 시즌2
 
Codegate 2013 Junior - Music Player Exploit
Codegate 2013 Junior - Music Player ExploitCodegate 2013 Junior - Music Player Exploit
Codegate 2013 Junior - Music Player Exploit
 
[ETHCon Korea 2019] Kim hyojun 김효준
[ETHCon Korea 2019] Kim hyojun 김효준[ETHCon Korea 2019] Kim hyojun 김효준
[ETHCon Korea 2019] Kim hyojun 김효준
 
Macro for Game
Macro for GameMacro for Game
Macro for Game
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
[2022]Flutter_IO_Extended_Korea_멀티모듈을활용한플러터클린아키텍처_...
 
File Signature Defender
File Signature Defender File Signature Defender
File Signature Defender
 

More from INSIGHT FORENSIC

(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
INSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
INSIGHT FORENSIC
 

More from INSIGHT FORENSIC (20)

(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
 

Recently uploaded

클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
Softwide Security
 
Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)
Wonjun Hwang
 
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
Softwide Security
 
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
Wonjun Hwang
 

Recently uploaded (6)

클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
 
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
 
Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)
 
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
 
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
 
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
 

(120128) #fitalk android forensics lock protection

  • 1. FORENSICINSIGHT SEMINAR Android Forensics: Lock Protection Posquit0 pbj92220@postech.ac.kr http://posquit0.com I Can Do It!!
  • 2. forensicinsight.org Page 2 / 26 개요  안드로이드의 내부적인 Lock에 대해 알아보고 안젂성을 확인한다.  어플리케이션에서 사용하는 자체적인 Lock에 대해 알아본다.
  • 3. forensicinsight.org Page 3 / 26 INDEX 1. Android Lock 2. Android Pattern Lock 3. Android PIN / Password Lock 4. Application Lock
  • 4. forensicinsight.org Page 4 / 26 Android Lock
  • 5. forensicinsight.org Page 5 / 26 Android Lock  잠금(Lock) • 제 3자가 특정 컨텐츠에 접근하지 못하도록 특수한 장치를 해두는 것  자물쇠  도어락  안드로이드의 패턴 잠금  안드로이드의 PIN / Password 잠금  어플리케이션에서 제공하는 잠금 • KAKAO TALK’s Lock  … … Lock 이란?
  • 6. forensicinsight.org Page 6 / 26 Pattern Lock
  • 7. forensicinsight.org Page 7 / 26 Pattern Lock  Android 기반 스마트 폰의 화면 잠금을 풀기 위해 사용하는 새로운 방법  9개의 점 중에서 최소 4개 이상의 점을 연결하여 특정 패턴을 사용 • 각 점에 숫자를 대입하면 이해하기 쉽다.  경우의 수가 한정 • 같은 점을 두 번 이상 지나지 못한다. • 총 895,824의 경우의 수가 존재한다. 패턴 잠금이란?
  • 8. forensicinsight.org Page 8 / 26 Pattern Lock  Android 상의 Pattern Lock에 관한 데이터 파일  /data/system/ 폴더에 존재  Lock Sequence가 SHA-1 Hash 알고리즘으로 암호화되어 저장 • Original Sequence로 되돌릴 수 있는 역함수가 존재하지 않는다.  복호화가 불가능할까?  895,824 라는 적은 경우의 수를 가짐 • 레인보우 테이블을 작성하여 복호화가 가능! gesture.key 0000h: FF EC 1E 70 D1 13 B0 B9 6C 7E 6C B2 B3 34 60 E2 ÿì.pÑ.°¹l~l²³4`â 0010h: 44 07 A9 6E D.©n
  • 9. forensicinsight.org Page 9 / 26 Pattern Lock • 895,824개의 경우의 수에 대한 해시 테이블 작성 • Original Sequence는 0x00~0x08 의 헥스 값으로 구성 Rainbow table
  • 10. forensicinsight.org Page 10 / 26 Pattern Lock  레인보우 테이블의 구성 • 사람들에게 친숙한 1~9 로 이루어진 Sequence • SHA-1 Hash 복호화된 Original Sequence • SHA-1 Hash Value Oxygen-forensic’s Rainbow Table 1234;00 01 02 03;A02A05B025B928C039CF1AE7E8EE04E7C190C0DB 1235;00 01 02 04;6E36A9BFACF6C4637D64042B11CB78BFDDAF8BF3 1236;00 01 02 05;101B2A675E9FB9546336D5B9EF70418B594184F4 1237;00 01 02 06;30F26B9825EA6F2EF6DBF6A88959774314D83F65
  • 11. forensicinsight.org Page 11 / 26 Pattern Lock  패턴 잠금 설정  레인보우 테이블을 이용하여 패턴 추출 Demo
  • 12. forensicinsight.org Page 12 / 26 PIN / Password Lock
  • 13. forensicinsight.org Page 13 / 26 PIN / Password Lock  Android 기반 스마트 폰의 화면 잠금을 풀기 위해 사용하는 고젂적인 방법  10개의 숫자를 이용하여 길이가 4인 Number Sequence를 사용  경우의 수가 한정 • 같은 숫자를 여러 번 사용할 수 있다. • 총 10,000의 경우의 수가 존재한다. PIN Lock이란?
  • 14. forensicinsight.org Page 14 / 26 PIN / Password Lock  Android 기반 스마트 폰의 화면 잠금을 풀기 위해 사용하는 방법 중에 하나  숫자와 문자 모두 사용 가능  경우의 수가 무한정 • 같은 문자를 여러 번 사용할 수 있다. • 길이에 제한이 없다. Password Lock이란?
  • 15. forensicinsight.org Page 15 / 26 PIN / Password Lock  안드로이드 상의 PIN / Password에 관한 데이터 파일 • 두 가지 잠금에 대한 데이터 파일의 이름이 동일  /data/system/ 폴더에 존재  Lock Sequence가 SHA-1 Hash 알고리즘으로 암호화되어 저장 • 패턴 잠금과 동일 password.key 667A90B331338288A2F115DF9D1EF73BEC05F48A4FF1FFFC0646ACFACE60B6E3D9249261
  • 16. forensicinsight.org Page 16 / 26 PIN / Password Lock  PIN의 경우: 10,000 라는 적은 경우의 수 • Make a rainbow table !  Password의 경우: 무한정한 경우의 수 • It is impossible ! password.key
  • 17. forensicinsight.org Page 17 / 26 Application Lock
  • 18. forensicinsight.org Page 18 / 26 Application Lock  어플리케이션 자체에서 잠금 기능을 지원  Example: • 카카오 톡 • 틱톡 • 마이피플 • … 어플리케이션 잠금
  • 19. forensicinsight.org Page 19 / 26 Application Lock  보통 PIN / Password 방식의 잠금 기능을 사용  암호에 대한 저장 공간과 암호화 방법이 필요 어플리케이션 잠금
  • 20. forensicinsight.org Page 20 / 26 Application Lock  “/data/data/package_name/shared_prefs/*.xml” • 어플리케이션에서 사용하는 기본 홖경 설정 파일 • 홖경 변수에 대한 값들이 저장되어 있음 • 잠금 암호의 저장소로 많이 사용 • 자동 로그인에 대한 정보도 있을 수 있음 • 폴더 명은 바뀔 가능성 있음 • 파일 명은 사용하는 홖경변수 함수에 따라 달라짐 암호 저장 공간
  • 21. forensicinsight.org Page 21 / 26 Application Lock  “/data/data/package_name/databases/*.db • 어플리케이션이 사용하는 SQLite 데이터 베이스 파일 • 사용하는 일련의 데이터를 저장하는 공갂 • 잠금 패스워드를 저장하는 공갂으로도 사용 가능 암호 저장 공간
  • 22. forensicinsight.org Page 22 / 26 Application Lock  대부분의 어플리케이션이 잠금에 대한 암호화를 하지 않음 • 평문으로 저장된 어플리케이션이 많이 존재  암호화를 할 경우, MD5 또는 SHA-1 알고리즘을 많이 사용 • 하지만, 대부분 PIN 방식을 사용 • 적은 경우의 수를 가짐  레인보우 테이블을 작성하여 복호화 가능 암호 방식
  • 23. forensicinsight.org Page 23 / 26 Problems  모든 잠금에 대한 데이터 파일이 로컬에 저장 • 복호화를 하지 않아도 접근이 가능  잠금에 대한 데이터 파일을 삭제시키면 잠금이 풀리기 때문  패턴 잠금의 경우, 화면에 남은 지문의 움직임을 통해 풀릴 가능성
  • 24. forensicinsight.org Page 24 / 26 질문 및 답변
  • 25. forensicinsight.org Page 25 / 26 참고 자료 1. Forensic focus Android forensics study of password and pattern lock protection
  • 26. forensicinsight.org Page 26 / 26 NEXT  Android Forensics: From Decompilation To Reversing • 다루는 내용  APK 파일 디컴파일 • DEX 포맷 구조 • DEX to Jar 디컴파일 • Jar to Java 디컴파일 • DEX to Smali 디컴파일  Re-packaging  Reversing  …