1. 수동 추출
- 수동 추출은 화면 상에 보이는 정보를 녹화하는 방식으로 진행하며, 시스템 메뉴 상의 정보나 삭제된 데이터는 획득할 수 없다.
- 스마트 워치 등의 기기에서 모바일 데이터 획득이 용이하지 않는 경우에 사용하고 있다.
2. 논리적 추출 (Logical Extraction)
- 논리적 추출은 모바일 운영체제와 통신할 수 있는 프로토콜을 이용하여 데이터를 획득하는 방식으로, 케이블을 통한 시리얼 통신이나 블루투스 통신 등이 있다.
- 수동 추출보다는 작업 속도가 빠르지만 여전히 비할당 데이터는 접근하기가 어렵다.
- AT 명령어 등을 사용하는 논리적 추출 방식과 파일시스템 추출로 나눠질 수 있으며, 아이폰은 iTunes 백업을 통해서 데이터를 획득하기도 한다.
3. 물리적 추출 (Physical Extraction)
- 물리적 추출로는 Hex Dump, JTAG, ISP 등이 있는데, 기기를 손상시킬 가능성도 있지만 손상 없이 획득할 수도 있다.
- 해당 단계부터는 비할당 영역에 대해서도 접근이 가능하다.
- 비손상 방식을 사용하려면, 루트 권한 획득이나 미디어 접근 목적으로 소프트웨어를 설치할 수도 있고 부트로더나 펌웨어를 커스텀 버전으로 변경할 수도 있다.
- 손상 방식으로는 JTAG(Joint Test Action Group)과 ISP(In-System Programming)방식이 있다.
- JTAG는 PCB 보드를 사용하여 파일을 주고받은 방식인데 매우 작은 파일을 기준으로 설계하여 전송속도가 느리다.
- ISP는 보드의 핀과 직접 연결하여 데이터를 획득하는 방식인데, JTAG보다 비교적 빠르나 eMMC, eMCP 등이 탑재된 모바일 기기에서 적용할 수 있다.
- 물리적 추출은 작업자의 훈련과 경험이 요구되며, 잘못된 조작으로 데이터가 변경되거나 삭제될 수 있다.
4. Chip-Off
- 모바일 기기로부터 NAND 혹은 eMMC의 메모리칩을 제거하여 데이터를 획득하는 방식으로, 적절한 하드웨어 아답터와 소프트웨어 등이 필요하다.
- 삭제된 파일레코드나 비할당 영역 데이터가 획득 가능하지만, 데이터를 해석하는 것은 시간이 오래 걸리며 리버싱 엔지니어링이 요구된다.
- 칩을 제거하는 행위는 중대한 위협이 되기도 하며, 작업자의 숙련도가 상당히 중요한 단계이다.
5. Micro Read
- 손상된 메모리칩의 일부에서 데이터를 직접 불러오는 방식으로, 해당 단계를 지원하는 포렌식 도구는 없다.
- 최신 기기에서 해당 단계가 지원되지 않기 때문에 사실상 작업을 진행하지 않는다.