개요

많은 분석가들이 사고 데이터를 수집할 때 각기 다른 도구를 사용해서 데이터를 수집하다보니 각 분석가들이 수집한 데이터의 저장 및 수집 방식이 상이함. 해당 글에서는 여러 디지털 포렌식 아티팩트 수집 도구를 비교하고 특징을 설명함.

1. Magnet RESPONSE

1.1. 특징

• Magnet Forensics에서 개발한 수집 도구임.
• DLL이나 설정 파일 없이 하나의 exe 파일로 실행 가능함.
• 메모리 아티팩트는 zip 파일로 압축하지 않고 같은 경로에 Dump It 프로그램을 사용해 메모리 데이터를 수집함.
• 수집 대상의 랜섬노트를 수집하는 기능있음.
• 수집 로그(Saved_Files_Log.csv) 및 Volatile Data 수집 결과(.txt)에서 한글 인코딩 깨짐.

1.2. 다운로드

Magnet Forensics 페이지에서 간단한 정보 입력 후 프로그램 다운로드 가능함.

Download Magnet RESPONSE

1.3. 수집 시, 한글 인코딩 깨짐

• Magnet RESPONSE를 통해 Volatile 데이터 수집 시, 한글이 인코딩에 에러가 발생해 보이지 않는 현상이 나타남.

2. KAPE

2.1. 특징

• Kroll에서 개발한 수집 도구. 수집 기능 외 다른 기능도 많이 지원함.
• Target 폴더에서 tkape 파일에 수집할 아티팩트 정의하고 아티팩트를 커스텀해 추가 및 수정 가능함.
• 아티팩트 수집 시, 인덱싱 과정을 거친 후 파일을 1차적으로 수집함. 1차적으로 수집할때 수집되지 않은 항목은 다른 방법으로 수집해서 빠지는 것 없이 수집함.
• 수집한 데이터를 SFTP, S3, AWS에 전송 가능함.

2.2. 다운로드

Kroll 페이지에서 간단한 정보 입력 후 프로그램 다운로드 가능함.

Downlaod Kroll Artifact Parser And Extractor (KAPE)

3. Artifact Collector

3.1. 특징

• exe 파일이 바이러스 탐지되기 때문에 방화벽 실시간 검사를 끄고 다운로드해야 함.
• Windows 7+ / Windows 2000 / Windows XP / macOS / Linux에 대해 수집 가능.
• 수집 결과를 SQLite DB에 저장하며 forensicstore라는 확장자 사용해서 데이터를 수집함.
• 아티팩트 파일이 용량이 커서 SQLite Blob으로 저장되지 않는 경우, tmp##### 파일 생성됨.
• 커스텀 아티팩트를 설정하는 방법은 Github에서 코드를 clone하여 아티팩트를 커스텀한 후 Go로 빌드함.

3.2. 다운로드

Github에서 프로그램을 다운로드할 수 있음. 릴리즈 페이지에 등록된 것은 forensicanalysis에서 기본적으로 설정한 아티팩트로 빌드되어 있음.

Release v0.16.4 · forensicanalysis/artifactcollector · GitHub

4. Cyber Triage Collection Tool

4.1. 특징

• 파일 자체를 수집하지 않고, JSON 형태로 수집함.
• JSON 파일에는 아티팩트의 메타데이터, 수집 로그 등 여러 데이터가 포함됨. 특정 파일은 파일의 HEX 값이 전부 JSON 파일의 입력되어있는 형태도 있음.
• 수집 후 Cyber Triage와 연동되서 작업이 이루어지는 것으로 보임.
• Windows XP 이상부터 수집이 가능함.
• Collection Tool을 직접으로 다운받을 수 없고, Cyber Triage 설치 후 추가적으로 설치해야함.

4.2. 다운로드

Cyber Triage Free Trial 다운 후, Collection Tool 클릭하여 수집기 다운로드 함.

Cyber Triage - Digital Forensics Tool