기말 세미나까지 제작할 산출물인 '초심자를 위한 디지털포렌식 주요 툴 사용 매뉴얼' 에서 발표할 예정인 도구 두 개에 대해 조사한 내용을 정리해보았다.
Autopsy
1. 도구 소개 및 설치 방법
- Autopsy는 디지털 포렌식 도구로 주로 범죄 수사, 데이터 복구, 사이버 보안 위협 탐지 등에 활용됨
- 디스크 이미지 분석, 삭제된 데이터 복구, 네트워크 아티팩트 분석 등 다양한 기능을 제공함.
- 해당 도구는 사건 조사 및 데이터 분석에 유용하며, 법 집행기관, 보안 전문가, IT 관리자가 많이 사용함
- 오픈소스 기반으로 무료 사용이 가능하고 직관적인 GUI 때문에 쉽게 사용할 수 있음
- The Sleuth Kit(TSK) 라이브러리를 기반으로 만들어짐
Autopsy의 개발 배경 및 개요
- 초기 디지털 포렌식 도구는 CLI 환경에 의존하여 전문가가 사용하기에만 적합하였음
- autopsy는 위와 같은 한계를 개선하여 포렌식 과정을 더 간단하고 시각적으로 접근할 수 있도록 개발되었음
- 법 집행기관, IT 보안 전문가, 교육 및 연구 분야에서 활용됨
즉, Autopsy는 디지털 증거 분석에 필요한 시간 단축과 효율성을 극대화할 수 있는 도구임
Autopsy의 주요 특징
- 사용자 친화적인 GUI로 분석하기 쉬움
- 자동화된 데이터 분석
- 자동으로 파일 시스템을 스캔하고 삭제된 데이터, 인터넷 아티팩트 등을 분석함
- 사용자가 분석 과정을 실시간으로 확인할 수 있음
- 다양한 데이터 소스 지원
- 다양한 지원 포맷이 있음
- 삭제된 데이터 복구
- 디스크의 비할당 공간을 스캔하여 삭제된 데이터를 복구하고 복구 가능 여부를 평가
- 삭제된 데이터뿐만 아니라 손상된 데이터의 일부도 복구할 수 있음
- 포렌식 타임라인 생성
- 파일과 이벤트의 생성, 수정, 삭제 시간을 기반으로 사건 흐름을 시각적으로 재구성함
- 시간순 정렬을 통해 이상 징후를 손쉽게 식별 가능
- 데이터 필터링
- 사용자 정의 키워드나 정규 표현식을 사용하여 중용한 데이터를 빠르게 검색할 수 있음
2. 기본 인터페이스 설명
Autopsy 화면 구성
- 프로젝트 패널
- 케이스 이름, 생성 날짜, 분석 대상을 관리
- 케이스 생성 시 "데이터 소스 추가" 옵션에서 디스크 이미지, 로컬 디스크, 메모리 덤프 등을 선택 가능
- 탐색기 패널
- 분석 중인 디스크 구조(파티션, 파일 시스템) 및 파일 목록을 탐색할 수 있음
- 트리 구조로 구성되어 있어 직관적인 탐색이 가능
- 결과 뷰어
- 키워드 검색, 삭제된 파일 복구 결과, 인터넷 아티팩트 분석 등을 확인
- 선택한 파일의 메타데이터 및 내용 확인 가능
- 작업 영역
- 사용자가 수행하는 작업(타임라인 생성, 보고서 생성 등)에 따라 패널 구성이 바뀌는 특
3. 참고 자료 및 추가 학습 링크
참고자료
EnCase
1. 도구 소개 및 설치 방법
- EnCase는 Guidance Software에서 개발한 디지털 포렌식 및 사이버 보안 분석 소프트웨어
- 법 집행기관, 기업, 보안 전문가들 사이에서 널리 사용되며 데이터 수집, 분석, 복구, 보고서 작성 등 디지털 증거 처리의 모든 과정을 지원
- 특히 삭제된 데이터의 복구, 악의적인 활동 조사, 네트워크 침입 탐지에서 높은 신뢰성을 제공함
즉, EnCase는 디지털 증거 수집, 분석, 복구, 보고서 생성 등 디지털 포렌식의 전 과정을 지원하는 전문 도구임
Autopsy의 개발 배경 및 개요
- 1997년 Guidance Software에서 개발됨
- 초기 디지털 포렌식 소프트웨어 중 하나로 디지털 증거 처리의 표준을 확립하는데 기여함
- 사용자는 시스템과 저장 장치에서 삭제되거나 은닉된 데이터를 복구하고 분석할 수 있음
- 법 집행기관, 기업 보안, 사이버 보안 전문가, 사고 대응팀에서 주로 활용함
Autopsy의 주요 특징
- 다양한 데이터 수집 및 분석 지원
- 디스크 드라이브, 모바일 기기, 클라우드 스토리지 등 다양한 지원 장치
- 정교한 데이터 복구
- 삭제된 파일, 포맷된 파티션, 손상된 디스크의 데이터 복구 가능
- 비할당 공간과 슬랙 공간까지 스캔하여 숨겨진 증거 탐색
- 자동화된 증거 분석
- EnScript 스크립트를 사용하여 분석 작업을 자동화
- 정규화된 데이터 보고 및 로그 기록
- 디지털 증거 보존
- 증거를 원본 상태로 유지하며 "Write Blocker" 기술로 데이터 무결성을 보장
- 복제된 이미지는 법적 증거로 제출 가능
- 강력한 검색 기능
- 키워드 및 정규 표현식 검색 가능
- 사건 중심의 작업 환경
- 사건 데이터를 개별 프로젝트로 구성하고 관리
- 클라우드 및 모바일 기기 지원
- 클라우드 스토리지오아 모바일 기기 데이터에 대한 분석 지원
- ios 및 Android 기기에서 삭제된 메시지, 앱 데이터, 사진 복구 가능
- 타임라인 분석
- 이벤트를 시간순으로 정렬하여 사건의 흐름을 시각적으로 파악
- 네트워크 활동, 파일 접근 기록, 로그인/로그아웃 기록 등을 시간 축으로 분석
- 네트워크 및 실시간 분석
- 네트워크 트래픽 분석 및 의심스러운 활동 탐지
- 침입 시도나 악성 활동을 실시간으로 모니터
2. 참고 자료 및 추가 학습 링크
참고자료
https://www.opentext.com/ko-kr/products/forensic
'4-1. 2024-2 심화 스터디 > 디지털 포렌식 1팀' 카테고리의 다른 글
[6주차] 디지털포렌식 1팀 - 디보 (0) | 2024.11.18 |
---|---|
[1주차] 디지털 포렌식 기초 개념 및 도구 (0) | 2024.11.16 |
[4주차] 디지털 포렌식 1팀 - 디보 (2) | 2024.11.03 |
[3주차] 디보 -(디지털 포렌식 1팀) (0) | 2024.10.02 |
[2주차] - 디보 (디지털 포렌식 1팀) (1) | 2024.09.30 |