✅
아티팩트 수집기 비교 대상
1. Magnet RESPONSE
2. Kape
3. Artifact Collector
4. Cyber Triage Collection Tool
1. Magnet RESPONSE
2. Kape
3. Artifact Collector
4. Cyber Triage Collection Tool
| Magnet RESPONSE | KAPE | Aritifact Collector | Cyber Triage Collection Tool | |
|---|---|---|---|---|
| 수집 방식 | Raw 파일 수집 | Raw 파일 수집 | SQLite 저장 | JSON 저장 |
| 아티팩트 커스텀 | X | O | O | X |
| 수집 결과 | Zip & zdmp(memory) | Raw, Zip, Vhdx, Vhd | forensicstore (SQLite 파일) | gz |
| OS 지원 | Windows 7+ | Windos 7+ | Windows 2000 + | Windows XP + |
| VSCs 수집 | X | O | X | X |
| Memory 수집 | O | X | X | X |
| 설정 파일 | X | tkape | yaml | X |
| 파일 해시 | X | O | O | O |
| ADS 수집 | X | O | X | X |
Magnet RESPONSE
다운로드
특징
- DLL이나 설정 파일 없이 하나의 exe 파일 실행
- 메모리 아티팩트는 zip 파일로 압축하지 않고 같은 경로에 Dump It 프로그램을 사용해 메모리 덤프
- 수집 로그(Saved_Files_Log.csv) 및 Volatile Data 수집 결과(.txt)에서 한글 인코딩 깨짐
한글 인코딩 깨짐
KAPE (Kroll Artifact Parser And Extractor)
다운로드
Downlaod Kroll Artifact Parser And Extractor (KAPE)
특징
- Target 폴더에서 .tkape 파일에 수집할 아티팩트 정의
- tkape 파일을 커스텀해 아티팩트 추가 및 수정
- 수집 결과를 SFTP, S3, AWS에 전송 가능
- VSC 수집 가능
Artifact Collector
다운로드
Release v0.16.4 · forensicanalysis/artifactcollector · GitHub
특징
- exe 파일이 바이러스 탐지되기 때문에 방화벽 실시간 검사를 끄고 다운로드
- Go 언어를 사용해서 Windows 7+ / Windows 2000 / Windows XP / macOS / Linux에서 수집 가능
- 수집 결과를 SQLite DB에 저장하며 forensicstore 확장자 사용
- 아티팩트 파일이 용량이 커서 SQLite Blob으로 저장되지 않는 경우, tmp##### 파일 생성
- 커스텀 아티팩트를 설정하는 방법은 Github에서 코드를 clone하여 아티팩트를 커스텀한 후 Go로 빌드
Cyber Triage Collection Tool
다운로드
Cyber Triage - Digital Forensics Tool Free Trial 다운 후, Collection Tool 클릭하여 수집기 다운로드
특징
- 파일 수집은 하지않고 아티팩트의 메타데이터를 JSON으로 저장
- Windows XP 수집 가능
