Compare Collection Tools

개요

많은 분석가들이 사고 데이터를 수집할 때 각기 다른 도구를 사용해서 데이터를 수집하다보니 각 분석가들이 수집한 데이터의 저장 및 수집 방식이 상이함. 해당 글에서는 여러 디지털 포렌식 아티팩트 수집 도구를 비교하고 특징을 설명함.

아티팩트 수집기 비교 대상
1. Magnet RESPONSE
2. Kape
3. Artifact Collector
4. Cyber Triage Collection Tool
Magnet RESPONSE KAPE Aritifact Collector Cyber Triage Collection Tool
수집 방식 Raw 파일 수집 Raw 파일 수집 SQLite 저장 JSON 저장
아티팩트 커스텀 X O O X
수집 결과 Zip & zdmp(memory) Raw, Zip, Vhdx, Vhd forensicstore (SQLite 파일) gz
OS 지원 Windows 7+ Windos 7+ Windows 2000 + Windows XP +
VSCs 수집 X O X X
Memory 수집 O X X X
설정 파일 X tkape yaml X
파일 해시 X O O O
ADS 수집 X O X X

1. Magnet RESPONSE

Magnet RESPONSE 실행 화면

1.1. 특징

  • Magnet Forensics에서 개발한 수집 도구임.
  • DLL이나 설정 파일 없이 하나의 exe 파일로 실행 가능함.
  • 메모리 아티팩트는 zip 파일로 압축하지 않고 같은 경로에 Dump It 프로그램을 사용해 메모리 데이터를 수집함.
  • 수집 대상의 랜섬노트를 수집하는 기능있음.
  • 수집 로그(Saved_Files_Log.csv) 및 Volatile Data 수집 결과(.txt)에서 한글 인코딩 깨짐.

1.2. 다운로드

Magnet Forensics 페이지에서 간단한 정보 입력 후 프로그램 다운로드 가능함.

Download Magnet RESPONSE

1.3. 수집 시, 한글 인코딩 깨짐

Magnet RESPONSE Volatile Data 수집 결과
  • Magnet RESPONSE를 통해 Volatile 데이터 수집 시, 한글이 인코딩에 에러가 발생해 보이지 않는 현상이 나타남.

2. KAPE

KAPE GUI 실행 화면

2.1. 특징

  • Kroll에서 개발한 수집 도구. 수집 기능 외 다른 기능도 많이 지원함.
  • Target 폴더에서 tkape 파일에 수집할 아티팩트 정의하고 아티팩트를 커스텀해 추가 및 수정 가능함.
  • 아티팩트 수집 시, 인덱싱 과정을 거친 후 파일을 1차적으로 수집함. 1차적으로 수집할때 수집되지 않은 항목은 다른 방법으로 수집해서 빠지는 것 없이 수집함.
  • 수집한 데이터를 SFTP, S3, AWS에 전송 가능함.

2.2. 다운로드

Kroll 페이지에서 간단한 정보 입력 후 프로그램 다운로드 가능함.

Downlaod Kroll Artifact Parser And Extractor (KAPE)

3. Artifact Collector

artifactcollector 실행 화면

3.1. 특징

  • exe 파일이 바이러스 탐지되기 때문에 방화벽 실시간 검사를 끄고 다운로드해야 함.
  • Windows 7+ / Windows 2000 / Windows XP / macOS / Linux에 대해 수집 가능.
  • 수집 결과를 SQLite DB에 저장하며 forensicstore라는 확장자 사용해서 데이터를 수집함.
  • 아티팩트 파일이 용량이 커서 SQLite Blob으로 저장되지 않는 경우, tmp##### 파일 생성됨.
  • 커스텀 아티팩트를 설정하는 방법은 Github에서 코드를 clone하여 아티팩트를 커스텀한 후 Go로 빌드함.

3.2. 다운로드

Github에서 프로그램을 다운로드할 수 있음. 릴리즈 페이지에 등록된 것은 forensicanalysis에서 기본적으로 설정한 아티팩트로 빌드되어 있음.

Release v0.16.4 · forensicanalysis/artifactcollector · GitHub

4. Cyber Triage Collection Tool

Cyber Tirage Collection Tool 실행 화면

4.1. 특징

  • 파일 자체를 수집하지 않고, JSON 형태로 수집함.
  • JSON 파일에는 아티팩트의 메타데이터, 수집 로그 등 여러 데이터가 포함됨. 특정 파일은 파일의 HEX 값이 전부 JSON 파일의 입력되어있는 형태도 있음.
  • 수집 후 Cyber Triage와 연동되서 작업이 이루어지는 것으로 보임.
  • Windows XP 이상부터 수집이 가능함.
  • Collection Tool을 직접으로 다운받을 수 없고, Cyber Triage 설치 후 추가적으로 설치해야함.

4.2. 다운로드

Cyber Triage Free Trial 다운 후, Collection Tool 클릭하여 수집기 다운로드 함.

Cyber Triage - Digital Forensics Tool