AXIOM 에서는 다양한 아티팩트 분석을 지원하지만, 간혹 분석 지원하지 않는 아티팩트가 있다.(ex. 한국에서 제작한 프로그램) 이렇게 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위해 AXIOM 은 Custom Artifact라는 기능을 지원하고 있다.
Custom Artifact 란
커스텀 아티팩트는 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위한 기능으로 설정된 XML 파일 또는 Python 스크립트이다. 보통 XML 파일은 SQL 쿼리문을 이용해 DB 파일을 파싱한 후 가공하는 형식의 파일이며, Python 스크립트는 문서 파일(csv, txt, log, xml 등)을 파싱한 후 가공하는 형식의 파일이다.
AXIOM Process에서 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위한 기능이므로, AXIOM의 분석 결과를 활용하는 것이 아닌 아티팩트 자체를 직접 파싱하거나 가공하는 기능이다.
커스텀 아티팩트는 실행 가능한 코드를 포함할 수 있으며, Python 환경(샌드박스 X)에서 관리자 권한으로 실행된다. 커스텀 아티팩트는 AXIOM Process에서 Tools > Manage custom artifacts로 추가할 수 있으며, "ADD NEW CUSTOM ARTIFACT"를 클릭해 직접 생성했거나 다운받은 아티팩트를 추가할 수 있다. 만약, 커스텀 아티팩트 구문에 오류가 있는 경우 아래와 같이 대화 상자가 나타나며, "\Program Files\Magnet Forensics\Magnet AXIOM\AXIOM Process\custom_artifact.log" 파일로 오류의 원인을 파악할 수 있다.
MAGNET Custom Artifact Community
Artifact Exchange는 커스텀 아티팩트 공유 커뮤니티이며, 자유롭게 회원 가입 후 이용할 수 있다. Artifact Exchange에서는 커스텀 아티팩트를 업로드하거나 다운로드 할 수 있으며, 만약 업로드 한다면 Magnet Forensic Artifact 팀의 검토와 승인 후 영업일 기준 10일 이내에 사이트에 게시된다. 최대 20MB까지 올릴 수 있으며, 20MB가 넘어가면 ZIP 형태로 업로드 해야 한다. 현재 Artifact Exchange에는 231개의 파일이 업로드 되어 있다.
Custom Artifact 제작하는 방법
Custom Artifact는 사용자가 원하는 대로 파일을 작성해도 되지만 MAGNET에서는 "Magnet Custom Artifact Generator(MCAG)" 라는 커스텀 파일을 만들어주는 도구를 제공하고 있다. 하단의 다운로드 링크는 MAGNET 고객 사이트 회원 정보가 있어야 한다. 만약 MAGNET 고객 사이트 회원 정보가 없는 경우에는 별도의 링크에서 MCAG를 무료로 다운받을 수 있다.
+ MAGNET 고객 사이트 회원 정보가 없는 경우 MCAG 다운로드 링크 : https://www.magnetforensics.com/resources/magnet-custom-artifact-generator/
Magnet Custom Artifact Generator(MCAG)는 GUI/Wizard-driven 기반이라 코딩 경험이 없어도 손쉽게 커스텀 파일을 제작하고, 생성한 커스텀 파일은 바로 AXIOM에 적용시킬 수 있게 도와준다. 또한, CSV 및 SQLite 데이터베이스와 같이 구분자를 사용해 데이터가 구분된 파일로도 커스텀 파일을 만들 수 있으며, Timestamp 필드와 기타 필드 구성 및 데이터 유형 설정이 가능하다. (단, Magnet Custom Artifact Generator(MCAG)는 윈도우 7 이상에서 부터 실행 가능하다.)
MCAG를 이용해 생성한 커스텀 파일은 아티팩트를 파싱하기 위한 가장 기본적인 구조의 파일이다. 만약 파싱 이외에 추가적인 처리를 하고 싶다면(ex. 데이터 내에 특정 단어가 포함된 부분만 파싱) 관련 내용을 사용자가 직접 커스텀 파일에 추가해줘야 한다.
Custom Artifact 장/단점
Custom Artifact의 가장 큰 장점은 AXIOM에서 지원하지 않는 특화된 데이터 형식에 대해 사용자가 원하는 대로 개별 처리가 가능하다는 점이다.
장점
- SQLite 형식의 아티팩트를 처리하기 쉬움
- 특화된 데이터 형식에 대한 개별 처리 가능
- 써드파티에서 얻은 결과를 AXIOM Examine에 통합하기 쉬움
반면에 단점은 XML-SQL 구문 사용과 Python 외부 모듈 추가에 제약이 있다는 점이다. AXIOM은 Iron-python을 사용하기 때문에 커스텀 파일에서 python 외부 모듈 추가(ex. DB 파싱을 위한 sqlite3 import)하거나 XML파일에서 SQL 구문 사용이 제한된다.
단점
- 이미 처리된 증거 이미지 결과에 추가적으로 커스텀 아티팩트를 적용하기 어려움 (초기 처리 전에 반드시 로드/체크 해야 함)
- XML-SQL 구문 사용과 python 외부 모듈 추가의 제약