[ccibomb@CRG]# _bykim

[해결방법] 아이폰 사진 동영상 오류 없이 컴퓨터로 옮기기

아이폰의 카메라 성능은 참 좋고, 보안도 뛰어나 여러 해 사용하고 있지만,

치명적인 단점이라고 생각되는 PC와의 호환성 문제가 큰 스트레스를 주곤 한다.

아이튠즈는 여전히 불편하고(동기화로 인한 사진 날리기..),

iCloud도, 카카오톡을 이용한 사진백업도 여러모로 불편하다.

USB케이블을 통해 사진을 한번에 옮기려고 하면, 수시로 뜨는 '오류창'에 넌덜머리가 나기 일쑤다.

USB케이블로 윈도우 운영체제와 멋지게 호환되는 안드로이드와는 너무도 차이가 난다ㅜ

오류 메시지.. 

"장치에 연결할 수 없습니다"

그리고

"원본 파일이나 디스크에서 읽을 수 없습니다"

고민 끝에 해결했다..

번거롭지만, 그래도 수십번에 걸쳐 USB케이블을 꽂았다 뺐다,

컴퓨터를 껐다 켰다 하는 것보다는 훨씬 나은 것 같다.

1. "장치에 연결할 수 없습니다" 오류창 해결방법

제어판 - 장치 관리자 - 범용 직렬 버스 장치 - Apple Mobile Device USB Composite Device 제거 - 컴퓨터 재시작

(다시 아이폰을 연결하면 드라이버 재설치하므로 걱정하지 말고 제거)

아이폰 재부팅 후, PC에 USB케이블로 연결하면,

드라이버를 자동으로 재설치하고 인식이 된다.

이를 해결한 후에도 복사 중 수시로 멈춰버리는,

심지어 PC를 껐다켜야 해결되는

"원본 파일이나 디스크에서 읽을 수 없습니다" 오류창을 해결해보자.

2. "원본 파일이나 디스크에서 읽을 수 없습니다" 오류창 해결방법

그 원인을 이번에야 알았다.

바로 애플에서 호환성을 포기하고

품질과 저장공간의 고효율만을 위해 선택한 사진포맷 'HEIF' 때문이었다.

H.264 보다 상위 버전인 H.265 코덱을 이용한 압축기술을 이용한다.

같은 화질에서 용량이 절반 정도라고 하니 아주 좋으나,

문제는 아직 애플만 사용하고, MS의 윈도우10에서는 지원이 안된다는게 문제다.

윈도우10에서 HEIC 이미지파일은 보이지 않는다. 

MS스토어에서 "HEIF 이미지 확장" 플러그인을 설치해야만 볼 수 있다.

하지만 플러그인을 설치해도 볼 수만 있지, 편집 및 변환은 불가능하다.

그런데 어떻게 우리는 아이폰 카메라로 찍은 사진들을, 

안드로이드를 사용하는 친구들에게 카카오톡으로 보내고,

iCloud에 올리고, SNS에 업로드하고, 

오류가 많이 나긴 하지만 그래도 USB케이블을 이용해서 컴퓨터에 옮겼던 것일까.

전송하는 순간 아이폰에서 HEIC 파일을 JPG 파일로 변환(인코딩)한다는 점이다.

이 때문에 여러개의 파일을 전송시, 수많은 오류가 났던 것으로 보인다.

앞으로라도 아이폰 카메라가 HEIC 파일이 아닌 JPG 파일로 사진을 저장하기 바란다면,

다음과 같이 설정을 해주면 된다.

설정 - 카메라 - 포맷 - 카메라 캡처 - 높은 호환성(JPG) (Default = '고효율성(HEIC)')

이미 저장된 HEIC 파일을 JPG 변환없이 컴퓨터로 전송하려면 다음과 같이 설정을 해주면 된다.

"설정 - 사진 - MAC 또는 PC 전송 - 원본 유지 (Default = '자동')"

그러면 아주 잘 복사가 된다. 

어떠한 오류도 없이 한번에 모든 사진과 동영상 파일이 아이폰에서 컴퓨터로 복사된다.

문제는 윈도우10에서 HEIC 파일을 볼 수 없다는 것..

프로그램을 이용하여 JPG 파일로 변환해주면 된다.

번거롭게 보이지만 생각보다 한번에 작업이 이루어지고, 변환작업도 복사하는 시간정도 걸린다.

내가 이용한 프로그램은 iMazaing HEIC Converter 이다.

(다운로드 : https://imazing.com/heic)

사용법은 매우 직관적이고 간단하다.

프로그램을 실행하고 변환하고자 하는 HEIC 파일을 Drag & Drop 하면 된다.

한번에 여러개의 HEIC 파일을 JPG 또는 PNG 파일로 변환해준다.

변환된 JPG/PNG 파일을 저장할 폴더만 지정해주면 된다.

디지털 카메라에서 이용하는 이미지 파일 포맷인 'EXIF data'도 그대로 유지할 수 있어,

카메라 제조사, 카메라 모델, 회전 방향, 날짜와 시간, 색 공간, 초점 거리, 플래시,

ISO 속도, 조리개, 셔터 속도, gps 등의 정보도 모두 유지 가능하다.

이와 관련, 모바일 포렌식에서는 어떻게 해결하고 있는지 확인해보니..

한컴GMD 모바일 디지털포렌식 솔루션 등을 이용하면 이미 자동으로 해결해주고 있었다.

이미징 후 데이터 추출시 자동으로 HEIC -> JPG 변환을 해주고 있었다.

분석할때 불편이 없으니, 인지하지 못하고 있었던 것..

[Teamviewer Quicksupport] 팀뷰어 퀵서포트 사용법

최근 보이스피싱 범죄에 강제발신변작 기능이 있는 악성 앱 외에도

스마트폰용 원격제어 프로그램인 Teamviewer Quicksupport가 이용되고 있다.

'금융감독원' 또는 '검찰청'이라고 사칭하며 전화하여,

구글 플레이스토어 등 정식 앱스토어에서 'Teamviewer Quicksupport'를 설치하게끔 유도한다.

그 이후 백신 프로그램(예: 경찰청 제작 폴-안티스파이 2.1)을 사칭한 악성 앱을 인터넷에서 다운로드 받아 설치하여,

전화번호와 문자메시지, 통화기록, 앱 설치 등 모든 권한을 가지고

피해자들을 농락하는 것이다.

(최근 보이스피싱 범죄에 많이 이용되고 있는 악성 앱들은 강제발신변작 기능이 포함되어 있다.

이러한 악성 앱이 설치되는 경우 감염된 스마트폰을 이용하여

특정 전화번호(예: 금융감독원 1332, 경찰청 112, 국민은행 1599-9999 등)로 확인전화를 하더라도

악성 앱 제작·유포자가 원하는 다른 전화번호(예: 보이스피싱 범죄조직의 일명 콜센터 070-xxxx-xxxx)로

발신이 전환된다.

즉.. 그 스마트폰으로는 경찰, 은행, 검찰, 금융감독원 어디에 전화를 하더라도,

보이스피싱 조직 콜센터에서 응대를 하게 되는 것이다.)

우선, Teamviewr Quicksupport를 사용해보아야 로그를 이해하기 수월하므로 테스트를 해보았다.

<Teamviewr 프로그램 설치 - PC>

팀뷰어 사이트(https://www.teamviewer.com/ko/)에 접속해서 팀뷰어 최신버전 다운로드받아 설치하면 된다.

설치하면, 다음과 같은 화면이 뜬다.

개인정보를 기재하는 회원가입 없이도 부여된 ID로 이용할 수 있다.

아래 테스트환경에서 Teamviwer PC버전의 ID는 좌측 화면에서 확인 가능한 '1 246 059 329'이다.

우측의 Partner ID에 스마트폰에 설치한 Teamviewer Quicksupport의 ID만 넣어주면 원격접속 끝이다.

매우 간단하다. 그래서 범죄에도 이용이 많이 되고 있다고 생각된다..

※ 참고: PC버전에 설치한 Teamviewer는 로그상 Server라고 하고,

접속대상인 스마트폰은 Client라고 한다. 

<Teamviewr Quicksupport 설치 - 스마트폰>

구글 플레이스토어나 통신사별 앱 스토어에서 'Teamviewr Quicksupport'를 다운로드 받아 설치하면 된다.

원격제어를 위해 애드온을 설치해주어야 한다.

그러면 원격제어 프로그램 Teamviewre Quicksupport를 이용할 준비가 끝났다.

PC의 'Partner ID' 입력창에 스마트폰에서 확인된 ID '1245 819 360'을 입력해주기면 하면 된다.

그러면, 이제 컴퓨터에서 스마트폰을 원격제어하거나,

다른 모바일 기기에서 스마트폰을 원격제어할 수도 있고,

양방향간 파일 전송도 가능하다.

<PC에서 스마트폰에 원격제어 요청>

컴퓨터에서 스마트폰에 원격접속을 요청하면,

스마트폰에서 이를 허용해주어야 한다. 

사용자 모르게 이 권한을 획득할 수는 없기 때문에 보이스피싱 범죄에서 전화로 피해자를 속이는 것이다.

<PC에서 스마트폰 원격제어 성공>

PC에서 스마트폰 원격제어 성공시,

다음과 같이 연결에 성공하였다는 메시지가 현출되고,

PC와 스마트폰 간에 채팅방으로 대화가 가능하다.

이 때, 현출되는 메시지인 '화면 공유 작동 중'을 기억해둘 필요가 있다.

Teamviewer Quicksupport 로그에도 해당 문구가 남기 때문이다.

PC버전에서 스마트폰의 화면을 공유받아서 확인이 가능하고, 모든 제어가 가능하다.

Dashboard 메뉴에서는 스마트폰의 모든 기기정보(네트워크 정보 포함) 확인이 가능하다.

스마트폰과 PC간 채팅을 시도해 보았다.

PC와 스마트폰간 파일 전송을 위해서는 한번 더 권한 허용을 해주어야 한다.

Apps 메뉴에서는 설치된 앱 확인 및 삭제까지 가능하다.

Settings 메뉴에서는 네트워크 설정확인이 가능하였다.

원격으로 카메라 제어도 가능하다.

파일관리자에서 모든 파일에 대한 접근도 가능하고,

특히 다운로드 받은 apk 파일을 설치할 수도 있다.

아래는 '경찰청 폴-안티스파이 2.1 사칭' 악성 앱(cyber.apk)을 설치하는 화면이다.

※ 참고로 위 악성 앱은 2019. 3. 14.자로 업데이트 된 '경찰청 폴-안티스파이 3.0'에서 탐지된다.

다음 포스팅에서 Teamviewer Quicksupport 로그분석을 함께 고민해보자. 

[Teamviewer Quicksupport Log Analysis] 팀뷰어 퀵서포트 로그 TVlog.html 분석

<테스트 환경: PC -> 스마트폰 접속>

PC에서 스마트폰으로 Teanviewer를 이용해 원격접속을 시도한 경우,

PC와 스마트폰에 남는 로그의 의미에 대해서 고민해보자.

Teamviewer 개발사에서는 해당 로그파일을 자기들에게 보내주면 분석해줄 뿐, 

정확히 문서화한 정보가 없으므로, 테스트결과를 토대로 추측할 수 있을 뿐이다.

(블로그상 잘못 표현된 부분들을 확인하시는 경우,

댓글 등을 통해서 알려주시면 정말 감사하겠습니다.)

<스마트폰 로그 분석(Teamviewer Quicksupport 설치)>

1. 스마트폰에서 로그파일 확인

 - "팀뷰어 - 우측상단(... 더보기 버튼) - 고급 - 로그파일"에서 확인 가능하다.

2. 스마트폰에 저장된 이벤트 로그(TVLog.html)

 - 앱에서 직접 이벤트 로그 확인이 가능하다.

 - Teamviewer Quicksupport는 PC버전의 Teamviewer와 달리 모든 이벤트 로그를 하나의 TVlog.html에 저장한다.

 - 이벤트 로그를 보면, 설치시점부터 외부 접속IP주소, 팀뷰어 서버와의 통신내역 등 확인이 가능하다.

3. Teamviewer Quicksupport 앱에서 이벤트 로그 파일 전송하기

 - 우측 하단의 종이비행기 버튼을 눌러,

스마트폰에 저장된 이벤트 로그를 이메일, 구글 드라이브 등을 통해 공유 가능하다.

4. Teamviewer Quicksupport 이벤트 로그(TVLog.html) 저장 위치

- 스마트폰에서 Teamviewer Quicksupport 앱을 실행하여 이벤트 로그파일을 전송할 여건이 안되는 경우,

(앱 실행 불가, 액정 고장, 백업파일만 존재 등)

/media/0/Android/data/com.teamviewer.quicksupport.market/files/TVLog.html에서 이벤트 로그 파일 확인 가능하다.

5. Teamviewer Quicksupport 이벤트 로그(TVLog.html) 분석

Teamviewer Quicksupport 로그(/media/0/Android/data/com.teamviewer.quicksupport.market/files/TVLog.html)와

팀뷰어 플러그인 같은 addon(Samsung, LG 등 제조사별로 앱스토어에서 제공) 로그

(/media/0/Android/data/com.teamviewer.quicksupport.addon.lg/files/TVLog.html)의

이름이 동일하게 TVLog.html이다.

addon 로그에서는 포렌식 관점에서 필요한 정보는 거의 없다.

addon helper의 시작시점과 버전정보 정도만 확인 가능하다.

반면, Teamviewer Quicksupport 이벤트 로그에서는 원격 접속한 IP주소 등을 확인할 수 있다.

Teamviewer Quicksupport 설치 및 시작 시점 확인이 가능하다.

Teamviewr Quicksupport가 설치된 스마트폰의 기기 정보 등 확인이 가능하다.

스마트폰의 메모리상태 및 네트워크 정보(무선 인터넷 연결여부 등) 확인이 가능하다.

(IP: 169.56.125.232)와 같은 형식으로 이벤트 로그 내 다수의 IP주소가 확인이 되는데,

이는 원격접속한 IP주소가 아닌 팀뷰어 서버 IP주소일 뿐이다.

스마트폰에 원격접속한 IP주소를 확인하기 위해서는

"a=xxx.xxx.xxx.xxx:50118: (*)"과 같은 형식으로 저장된 부분을 찾으면 된다.

스마트폰 및 원격접속한 컴퓨터의 이름도 확인이 가능하다.

"AddParticipant:"과 같은 형식으로 저장된 부분을 찾으면 된다.

아래 로그의 경우 "FORENSIC-03"이 스마트폰에 원격접속을 한 컴퓨터의 이름이다.

*원격접속한 PC의 컴퓨터 이름 'Forensic-03'

*원격접속한 PC의 팀뷰어 ID '1246059329'

*스마트폰의 팀뷰어 ID '1245819360'

앱의 설치 및 제거 관련 로그도 확인이 가능하다.

또한 PC에 화면 정보를 전송한 내역도 확인이 가능하다.

접속종료 정보는 명확하지 않은 경우들이 있다. 접속에러가 빈번하게 발생하기 때문이다.

사용자가 정상적으로 종료시에는 아래와 같이 "CmdEndSession():" 관련 로그가 확인된다.

그러나 정상적으로 종료하지 않은 경우에도 다수 접속에러가 발생하는데,

이 경우 아래와 같이 "create udp connection was not successful:"과 같은 형태의 로그가 기록된다.

※ 기타 환경설정 파일

0) TVLog.html에서 Teamviewer Quicksupport 실행초반에 환경설정파일을 가장 먼저 읽는다.

1) Client, Global 환경설정(client.conf, global.conf) 파일 위치: 

/userdata/data/com.teamviewer.quicksupport.market/files/

2) Client, Global 환경설정 파일명 및 내용

- client.conf : SUID 저장됨

- global.conf : Teamviewer Quicksupport 버전 및 인증서정보 등 저장됨

<PC 로그 분석>

스마트폰에 원격접속을 시도한 PC에서도 위 스마트폰 로그(TVLog.html)에 상응하는 로그가 저장된다.

그 위치는 "C:\Program Files (x86)\TeamViewer"이며,

로그파일의 이름은 "TeamViewer14_Logfile.log"이다.

(PC에 설치한 Teamviewer의 버전에 따라 숫자는 달라지는 것으로 보인다.)

로그파일에서는 인터넷 연결정보(IP주소) 및 팀뷰어 버전정보 등 확인이 가능하다.

스마트폰의 Teamviewer Quicksupport 로그(TVLog.html)와 동일하게

"AddParticipant:"를 검색하여 상호 연결된 Device 이름 및 팀뷰어 ID 확인이 가능하다.

(1246059329는 PC의 팀뷰어 ID, 1245819360은 스마트폰의 팀뷰어 ID이다.)

또한, 스마트폰의 Teamviewer Quicksupport 로그(TVLog.html)와 동일하게

"a=xxxxxx.xxx.xxx:50453:"를 검색하여 접속한 스마트폰의 IP주소를 확인 가능하다.

최근 보이스피싱 범죄에 강제발신변작 기능이 있는 악성 앱 외에도

스마트폰용 원격제어 프로그램인 Teamviewer Quicksupport가 이용되고 있다.

'금융감독원' 또는 '검찰청'이라고 사칭하며 전화하여,

구글 플레이스토어 등 정식 앱스토어에서 'Teamviewer Quicksupport'를 설치하게끔 유도한다.

그 이후 백신 프로그램(예: 경찰청 제작 폴-안티스파이 2.1)을 사칭한 악성 앱을 인터넷에서 다운로드 받아 설치하여,

전화번호와 문자메시지, 통화기록, 앱 설치 등 모든 권한을 가지고

피해자들을 농락하는 것이다.

(최근 보이스피싱 범죄에 많이 이용되고 있는 악성 앱들은 강제발신변작 기능이 포함되어 있다.

이러한 악성 앱이 설치되는 경우 감염된 스마트폰을 이용하여

특정 전화번호(예: 금융감독원 1332, 경찰청 112, 국민은행 1599-9999 등)로 확인전화를 하더라도

악성 앱 제작·유포자가 원하는 다른 전화번호(예: 보이스피싱 범죄조직의 일명 콜센터 070-xxxx-xxxx)로

발신이 전환된다.

즉.. 그 스마트폰으로는 경찰, 은행, 검찰, 금융감독원 어디에 전화를 하더라도,

보이스피싱 조직 콜센터에서 응대를 하게 되는 것이다.)

우선, Teamviewr Quicksupport를 사용해보아야 로그를 이해하기 수월하므로 테스트를 해보았다.

<Teamviewr 프로그램 설치 - PC>

팀뷰어 사이트(https://www.teamviewer.com/ko/)에 접속해서 팀뷰어 최신버전 다운로드받아 설치하면 된다.

설치하면, 다음과 같은 화면이 뜬다.

개인정보를 기재하는 회원가입 없이도 부여된 ID로 이용할 수 있다.

아래 테스트환경에서 Teamviwer PC버전의 ID는 좌측 화면에서 확인 가능한 '1 246 059 329'이다.

우측의 Partner ID에 스마트폰에 설치한 Teamviewer Quicksupport의 ID만 넣어주면 원격접속 끝이다.

매우 간단하다. 그래서 범죄에도 이용이 많이 되고 있다고 생각된다..

※ 참고: PC버전에 설치한 Teamviewer는 로그상 Server라고 하고,

접속대상인 스마트폰은 Client라고 한다. 

<Teamviewr Quicksupport 설치 - 스마트폰>

구글 플레이스토어나 통신사별 앱 스토어에서 'Teamviewr Quicksupport'를 다운로드 받아 설치하면 된다.

원격제어를 위해 애드온을 설치해주어야 한다.

그러면 원격제어 프로그램 Teamviewre Quicksupport를 이용할 준비가 끝났다.

PC의 'Partner ID' 입력창에 스마트폰에서 확인된 ID '1245 819 360'을 입력해주기면 하면 된다.

그러면, 이제 컴퓨터에서 스마트폰을 원격제어하거나,

다른 모바일 기기에서 스마트폰을 원격제어할 수도 있고,

양방향간 파일 전송도 가능하다.

<PC에서 스마트폰에 원격제어 요청>

컴퓨터에서 스마트폰에 원격접속을 요청하면,

스마트폰에서 이를 허용해주어야 한다. 

사용자 모르게 이 권한을 획득할 수는 없기 때문에 보이스피싱 범죄에서 전화로 피해자를 속이는 것이다.

<PC에서 스마트폰 원격제어 성공>

PC에서 스마트폰 원격제어 성공시,

다음과 같이 연결에 성공하였다는 메시지가 현출되고,

PC와 스마트폰 간에 채팅방으로 대화가 가능하다.

이 때, 현출되는 메시지인 '화면 공유 작동 중'을 기억해둘 필요가 있다.

Teamviewer Quicksupport 로그에도 해당 문구가 남기 때문이다.

PC버전에서 스마트폰의 화면을 공유받아서 확인이 가능하고, 모든 제어가 가능하다.

Dashboard 메뉴에서는 스마트폰의 모든 기기정보(네트워크 정보 포함) 확인이 가능하다.

스마트폰과 PC간 채팅을 시도해 보았다.

PC와 스마트폰간 파일 전송을 위해서는 한번 더 권한 허용을 해주어야 한다.

Apps 메뉴에서는 설치된 앱 확인 및 삭제까지 가능하다.

Settings 메뉴에서는 네트워크 설정확인이 가능하였다.

원격으로 카메라 제어도 가능하다.

파일관리자에서 모든 파일에 대한 접근도 가능하고,

특히 다운로드 받은 apk 파일을 설치할 수도 있다.

아래는 '경찰청 폴-안티스파이 2.1 사칭' 악성 앱(cyber.apk)을 설치하는 화면이다.

※ 참고로 위 악성 앱은 2019. 3. 14.자로 업데이트 된 '경찰청 폴-안티스파이 3.0'에서 탐지된다.

다음 포스팅에서 Teamviewer Quicksupport 로그분석을 함께 고민해보자.