본문 바로가기

4-1. 2024-2 심화 스터디/디지털 포렌식 1팀

[5주차] 디지털 포렌식 1팀 - 디보

기말 세미나까지 제작할 산출물인 '초심자를 위한 디지털포렌식 주요 툴 사용 매뉴얼' 에서 발표할 예정인 도구 두 개에 대해 조사한 내용을 정리해보았다.

 


Autopsy

1. 도구 소개 및 설치 방법

  • Autopsy는 디지털 포렌식 도구로 주로 범죄 수사, 데이터 복구, 사이버 보안 위협 탐지 등에 활용됨
  • 디스크 이미지 분석, 삭제된 데이터 복구, 네트워크 아티팩트 분석 등 다양한 기능을 제공함.
  • 해당 도구는 사건 조사 및 데이터 분석에 유용하며, 법 집행기관, 보안 전문가, IT 관리자가 많이 사용함
  • 오픈소스 기반으로 무료 사용이 가능하고 직관적인 GUI 때문에 쉽게 사용할 수 있음
  • The Sleuth Kit(TSK) 라이브러리를 기반으로 만들어짐

Autopsy의 개발 배경 및 개요

  • 초기 디지털 포렌식 도구는 CLI 환경에 의존하여 전문가가 사용하기에만 적합하였음
  • autopsy는 위와 같은 한계를 개선하여 포렌식 과정을 더 간단하고 시각적으로 접근할 수 있도록 개발되었음
  • 법 집행기관, IT 보안 전문가, 교육 및 연구 분야에서 활용됨

즉, Autopsy는 디지털 증거 분석에 필요한 시간 단축과 효율성을 극대화할 수 있는 도구

 

 

Autopsy의 주요 특징

  • 사용자 친화적인 GUI로 분석하기 쉬움
  • 자동화된 데이터 분석
    • 자동으로 파일 시스템을 스캔하고 삭제된 데이터, 인터넷 아티팩트 등을 분석함
    • 사용자가 분석 과정을 실시간으로 확인할 수 있음
  • 다양한 데이터 소스 지원
    • 다양한 지원 포맷이 있음
  • 삭제된 데이터 복구
    • 디스크의 비할당 공간을 스캔하여 삭제된 데이터를 복구하고 복구 가능 여부를 평가
    • 삭제된 데이터뿐만 아니라 손상된 데이터의 일부도 복구할 수 있음
  • 포렌식 타임라인 생성
    • 파일과 이벤트의 생성, 수정, 삭제 시간을 기반으로 사건 흐름을 시각적으로 재구성함
    • 시간순 정렬을 통해 이상 징후를 손쉽게 식별 가능
  • 데이터 필터링
    • 사용자 정의 키워드나 정규 표현식을 사용하여 중용한 데이터를 빠르게 검색할 수 있음

 

2. 기본 인터페이스 설명

Autopsy 화면 구성

  1. 프로젝트 패널
    • 케이스 이름, 생성 날짜, 분석 대상을 관리
    • 케이스 생성 시 "데이터 소스 추가" 옵션에서 디스크 이미지, 로컬 디스크, 메모리 덤프 등을 선택 가능
  2. 탐색기 패널
    • 분석 중인 디스크 구조(파티션, 파일 시스템) 및 파일 목록을 탐색할 수 있음
    • 트리 구조로 구성되어 있어 직관적인 탐색이 가능
  3. 결과 뷰어
    • 키워드 검색, 삭제된 파일 복구 결과, 인터넷 아티팩트 분석 등을 확인
    • 선택한 파일의 메타데이터 및 내용 확인 가능
  4. 작업 영역
    • 사용자가 수행하는 작업(타임라인 생성, 보고서 생성 등)에 따라 패널 구성이 바뀌는 특

 

3. 참고 자료 및 추가 학습 링크

참고자료

https://www.autopsy.com/

 

opsy | Digital Forensics

Autopsy® is the premier end-to-end open source digital forensics platform. Built by Basis Technology with the core features you expect in commercial forensic tools, Autopsy is a fast, thorough, and efficient hard drive investigation solution that evolves

www.autopsy.com

 

 

 


EnCase

1. 도구 소개 및 설치 방법

  • EnCase는 Guidance Software에서 개발한 디지털 포렌식 및 사이버 보안 분석 소프트웨어
  • 법 집행기관, 기업, 보안 전문가들 사이에서 널리 사용되며 데이터 수집, 분석, 복구, 보고서 작성 등 디지털 증거 처리의 모든 과정을 지원
  • 특히 삭제된 데이터의 복구, 악의적인 활동 조사, 네트워크 침입 탐지에서 높은 신뢰성을 제공함

즉, EnCase는 디지털 증거 수집, 분석, 복구, 보고서 생성 등 디지털 포렌식의 전 과정을 지원하는 전문 도구

Autopsy의 개발 배경 및 개요

  • 1997년 Guidance Software에서 개발됨
  • 초기 디지털 포렌식 소프트웨어 중 하나로 디지털 증거 처리의 표준을 확립하는데 기여함
  • 사용자는 시스템과 저장 장치에서 삭제되거나 은닉된 데이터를 복구하고 분석할 수 있음
  • 법 집행기관, 기업 보안, 사이버 보안 전문가, 사고 대응팀에서 주로 활용함

Autopsy의 주요 특징

  • 다양한 데이터 수집 및 분석 지원
    • 디스크 드라이브, 모바일 기기, 클라우드 스토리지 등 다양한 지원 장치
  • 정교한 데이터 복구
    • 삭제된 파일, 포맷된 파티션, 손상된 디스크의 데이터 복구 가능
    • 비할당 공간과 슬랙 공간까지 스캔하여 숨겨진 증거 탐색
  • 자동화된 증거 분석
    • EnScript 스크립트를 사용하여 분석 작업을 자동화
    • 정규화된 데이터 보고 및 로그 기록
  • 디지털 증거 보존
    • 증거를 원본 상태로 유지하며 "Write Blocker" 기술로 데이터 무결성을 보장
    • 복제된 이미지는 법적 증거로 제출 가능
  • 강력한 검색 기능
    • 키워드 및 정규 표현식 검색 가능
  • 사건 중심의 작업 환경
    • 사건 데이터를 개별 프로젝트로 구성하고 관리
  • 클라우드 및 모바일 기기 지원
    • 클라우드 스토리지오아 모바일 기기 데이터에 대한 분석 지원
    • ios 및 Android 기기에서 삭제된 메시지, 앱 데이터, 사진 복구 가능
  • 타임라인 분석
    • 이벤트를 시간순으로 정렬하여 사건의 흐름을 시각적으로 파악
    • 네트워크 활동, 파일 접근 기록, 로그인/로그아웃 기록 등을 시간 축으로 분석
  • 네트워크 및 실시간 분석
    • 네트워크 트래픽 분석 및 의심스러운 활동 탐지
    • 침입 시도나 악성 활동을 실시간으로 모니터

2. 참고 자료 및 추가 학습 링크

참고자료

https://www.opentext.com/ko-kr/products/forensic

 

디지털 포렌식 소프트웨어 | OpenText Forensic

조사자가 가장 중요한 증거를 식별하고, 우선순위를 정하고, 처리하고, 데이터를 분석하여 위법 행위의 증거를 찾을 수 있습니다.

www.opentext.com