Physical Imaging vs Full File System
Physical Imaging
디스크 자체를 비트 단위로 복제
빈 공간 포함되어 삭제된 파일 복구 가능성 있음
분석 어려움
디바이스 전체 크기만큼의 크기를 가짐
RAW 데이터
Full File System
파일 단위로 깔끔하게 정리된 전체 백업
앱 데이터, 사용자 로그, 설정, 행동 기록 등 분석 가능
사용 중인 데이터만큼의 크기를 가짐
전체 디렉토리를 복사해온 것 같이 실제 경로 구조를 보존
삭제된 파일, 빈 공간은 없음
디스크 암호화
iOS는 기본적으로 모든 데이터를 암호화하여 디스크에 저장함
FBE(File-based Encryption) : 각 파일이 개별적으로 암호화됨
FDE(Full Disk Encryption) : 하나의 키로 전체 디스크를 암호화
iPhone 6 (iOS 12.5.7) 이므로 FDE 사용하여 이미징될 때 복호화 되어 전달된다고 한다 !
Full File System
여러 방법을 시도했는데 아래 방법으로 첨으로 성공해따.
0. 준비 환경
탈옥한 iPhone 6 (ios 12.5.7) 기기를 (c to 8) 케이블을 통해 PC와 연결 후 3uTools SSH Tunnel을 통해 실행
iPhone은 127.0.0.1 -p22 root
PC의 IP 주소는 ###.###.##.26 : PuTTY를 통해 관리자 권한으로 실행 (administrator)
저장 위치는 D:\iOS\full_fs
1. PC에서 SSH 통신 준비
2. iPhone에서 rsync 명령어 준비
apt update
apt install rsync
3. PC의 WSL 환경에서 rsync 준비
4. iPhone에서 압축 먼저 진행
tar -czpf /var/root/full_fs.tar.gz
5. PC로 전송
6. 확인
오류가 많이 떠서 획득하지 못한 파일, 크기가 0인 파일이 있긴 하융
이미징끗!