[7주차] 디지털포렌식 1팀-디보

Wireshark

Wireshark는 네트워크 분석과 디지털 포렌식 분야에서 널리 사용되는 도구로, 네트워크 트래픽을 실시간으로 캡처하고 분석하는 데 탁월하다. 이 도구를 활용하면 네트워크 성능 문제를 진단하거나 보안 위협을 감지할 수 있다. Wireshark는 다양한 네트워크 프로토콜을 지원하며, 디지털 증거를 수집하고 분석하는 과정에서 중요한 역할을 한다.

 

1. Wireshark의 개요 및 주요 특징

Wireshark는 로컬 네트워크와 원격 네트워크 트래픽을 캡처하여 분석할 수 있는 강력한 패킷 분석 도구다. 보안 전문가, 네트워크 관리자, 법 집행 기관 등에서 널리 사용된다.

주요 특징:

• 실시간 패킷 캡처: 네트워크 트래픽을 실시간으로 캡처하며, TCP/IP, UDP, HTTP, DNS 등 다양한 프로토콜을 분석할 수 있다.
• 필터링 및 검색: 특정 IP 주소, 포트 번호, 프로토콜 등을 기준으로 데이터를 필터링하여 필요한 데이터를 신속히 분석할 수 있다.
• 다양한 파일 형식 지원: 캡처 데이터를 PCAP, PCAPNG 등의 형식으로 저장하며, 다른 분석 도구와 호환성을 제공한다.
• 타임라인 기능: 패킷 전송 시간을 기준으로 데이터를 분석하여 네트워크 이벤트의 순서를 파악할 수 있다.
• 내장된 프로토콜 디코더: 수백 가지 프로토콜에 대한 디코딩 기능을 제공하여 패킷 데이터를 사람이 읽을 수 있는 형식으로 변환한다.

2. Wireshark의 활용 방법

2.1. 네트워크 트래픽 캡처

• 캡처 시작: 분석할 네트워크 인터페이스를 선택한 후 캡처를 시작한다. Wireshark는 로컬 네트워크와 연결된 모든 패킷을 기록하며, 이를 통해 트래픽 흐름을 모니터링할 수 있다.
• 필터링 옵션: 불필요한 데이터를 제거하고 특정 트래픽만 볼 수 있도록 필터를 설정한다. 예를 들어, ip.src == 192.168.0.1와 같은 표현식을 사용해 특정 IP에서 송신된 패킷만 볼 수 있다.

2.2. 트래픽 분석

• 프로토콜 분석: TCP 핸드셰이크, HTTP 요청, DNS 질의 등 네트워크 프로토콜의 동작을 분석하여 문제를 진단한다.
• 이상 트래픽 감지: 비정상적인 네트워크 활동(예: 포트 스캔, 의심스러운 DNS 질의)을 발견하여 보안 위협을 식별한다.
• 타임라인 분석: 특정 시간대의 네트워크 활동을 집중적으로 분석해 사건의 흐름을 이해한다.

2.3. 데이터 저장 및 공유

• 분석한 데이터를 파일로 저장하여 보고서에 포함하거나 팀원들과 공유할 수 있다. Wireshark는 CSV, XML, JSON 등 다양한 형식으로 데이터를 내보낼 수 있다.

3. Wireshark를 효율적으로 사용하는 팁

• 정규 표현식 활용: 네트워크 트래픽에서 특정 패턴을 검색할 때 정규 표현식을 사용하면 분석 효율성을 높일 수 있다.
• 컬러링 룰: 특정 트래픽 유형을 색상으로 표시하여 한눈에 확인할 수 있도록 설정한다.
• 자동화 스크립트: Tshark(명령줄 기반 Wireshark)를 사용하여 반복 작업을 자동화할 수 있다.

---

FTK Imager

FTK Imager는 디지털 포렌식 전문가들이 증거 데이터를 수집, 분석 및 저장하는 데 사용되는 필수적인 이미지 생성 도구이다. 이 도구는 데이터 손상 없이 원본 디스크와 동일한 복제본을 생성하며, 다양한 포렌식 이미지 형식을 지원한다.

1. FTK Imager의 개요 및 주요 특징

FTK Imager는 증거 데이터를 안전하게 복사하고 분석할 수 있도록 설계되었다. 데이터 수집, 디스크 분석, 파일 복구 등의 과정에서 법적 요구 사항을 충족할 수 있는 신뢰성을 제공한다.

주요 특징:

• 포렌식 이미지 생성: 디스크나 특정 파티션의 전체 복제본(E01, DD, AFF 등)을 생성하며, 원본 데이터의 무결성을 유지한다.
• 데이터 무결성 검증: MD5, SHA-1, SHA-256 등 다양한 해시 알고리즘을 사용하여 데이터의 무결성을 보장한다.
• 실시간 미리보기: 데이터를 복사하기 전에 드라이브 내용을 실시간으로 미리 볼 수 있어 분석 범위를 사전에 설정할 수 있다.
• 삭제된 데이터 복구: 파일 시스템의 잔여 데이터를 분석하여 삭제된 파일을 복구할 수 있다.
• 광범위한 파일 형식 지원: 디스크 이미지 외에도 메모리 덤프, USB 드라이브, 네트워크 드라이브 등 다양한 데이터 소스를 지원한다.

---

2. FTK Imager의 활용 방법

2.1. 디스크 이미지 생성

• 소스 선택: 로컬 디스크, 외장 드라이브, ISO 이미지 등 데이터를 복사할 소스를 선택한다.
• 이미지 형식 설정: E01 또는 Raw(dd)와 같은 포렌식 이미지 형식을 선택하고 해시 계산 옵션을 활성화한다.
• 출력 저장: 복사본 데이터를 저장할 위치와 파일 이름을 지정한다.

2.2. 데이터 분석 및 미리보기

• 디렉토리 구조 탐색: 디스크의 파일 및 폴더 구조를 탐색하여 중요한 증거를 식별한다.
• 삭제된 파일 복구: 할당되지 않은 공간에서 삭제된 파일을 검색하고 복구한다.
• 메타데이터 분석: 파일 생성 시간, 수정 시간, 접근 시간 등의 정보를 확인하여 사건의 타임라인을 구성한다.

2.3. 데이터 내보내기

• 특정 데이터를 선택하여 독립적인 증거 파일로 내보내거나 포렌식 보고서에 포함시킨다.

3. FTK Imager를 효율적으로 사용하는 팁

• 무결성 유지: 이미지 생성 후 해시 값을 비교하여 원본 데이터의 손상 여부를 즉시 확인한다.
• 분할 저장: 대용량 데이터를 처리할 때 파일을 일정 크기로 분할하여 저장하면 저장 공간을 효율적으로 사용할 수 있다.
• 증거 태그: 분석 중 중요한 파일이나 데이터를 태그로 표시해 나중에 빠르게 찾아볼 수 있도록 관리한다.
• 다른 도구와 연동: FTK Imager로 생성된 이미지는 EnCase, Magnet AXIOM 등 다른 포렌식 도구와 호환 가능하다.

 

 

Wireshark와 FTK Imager는 각각 네트워크와 스토리지 데이터를 분석하는 데 강력한 도구로, 디지털 포렌식 과정에서 상호 보완적으로 사용될 수 있다. Wireshark는 실시간 네트워크 트래픽 분석에 적합하며, FTK Imager는 저장 매체의 정적 데이터를 정확히 복사하고 분석하는 데 탁월하다.