디지털포렌식 분석의 대상은 주로 여러 데이터를 모은 선별 데이터 묶음이나 저장장치 이미지다. 사건 유형과 분석 목적에 따라 특정 파일만 분석하는 경우도 있지만 이때도 해당 파일이나 레코드를 복구까지 해야 하기 때문에 파일시스템이나 파일 포맷의 구조, 복구 원리 등을 이해하고 있어야 한다.
분석 결과의 오류 가능성을 줄이려면 분석에 활용되는 다양한 아티팩트의 이해가 선행되야 하고 거기에 더해 풍부한 경험을 갖춰야 한다. 좋은 분석가라면 운영체제 버전이나 사용 환경에 따라 변하는 아티팩트의 차이점과 한계점을 인식하고 있어야 한다. 처음 분석 분야에 들어왔다면 널리 알려진 EnCase, FTK, AXIOM 등의 통합 포렌식 도구로 문제를 해결하겠지만 경험이 쌓일수록 통합 도구로 해결할 수 없는 한계점이 많이 나타난다. 그 한계를 해결하기 위해 보통 아티팩트 별로 목적에 맞는 도구를 사용한다.
처음부터 아티팩트별로 개별 분석 도구를 사용하는 것은 추천하지 않는다. 처음에는 자신에 맞는 통합 포렌식 도구로 시작을 하고 이후 분석의 한계가 보일 때마다 하나씩 늘려나가는 것을 추천한다. 그러다보면 어느새 분석에 관해 인사이트가 넓어진 자신을 발견할 수 있을 것이다. 분석 도구는 자신의 분석 스타일과 목적에 맞는 것을 선택해서 쓰면 된다. 그 선택에 도움을 주기 위해 PLAINBIT에서 아티팩트 별로 사용하는 분석 도구를 공유하려고 한다.
단, 윈도우 운영체제만 대상으로 하며 언급되지 않은 아티팩트는 통합 포렌식 도구에서 지원하는 기능을 사용하거나 파서를 직접 구현해 사용 중이다.
# 통합 포렌식 도구
통합이라고 제목은 붙였지만 보통의 분석 대상이 이미지 파일이기 때문에 이미지 파일을 해석하고 파일시스템 구조를 확인할 수 있는 도구를 메인으로 사용한다. 이런 도구는 파일시스템 뿐만아니라 주요 아티팩트의 해석 기능도 지원한다. 오픈소스인 TSK(The Sleuth Kit) 기반의 Autopsy도 있지만 안정성이 떨어져 원활한 분석을 하려면 상용 도구를 사용하자.
Tool | Description |
---|---|
X-Ways Forensics (WinHex) | 파일시스템의 상세한 구조까지 모두 직접 확인가능하고 필터링과 검색 기능이 뛰어나며 무엇보다도 가볍다. 파일시스템 해석 기능만 필요하다면 WinHex 제품으로도 충분하다. |
Magnet AXIOM | 아티팩트 분석 기능과 레코드 복구 기능이 탁월한 도구로 파일시스템에 대한 이해 없이도 쉽게 사용 흔적을 확인할 수 있다. 하지만, 아티팩트 구조와 해석 방법에 대한 정확한 이해가 있어야 정확한 판단이 가능하다. |
# 아티팩트 분석 도구
통합 포렌식 도구에서 주요 아티팩트에 대한 분석 기능을 지원하지만 보통 상세한 아티팩트 분석을 지원하지 않고, 통합 도구 인터페이스에서 분석하기가 까다로운 경우가 많아 심도있는 분석을 하려면 아티팩트 파싱에 충실한 별도 도구가 필요하다.
Artifact | Tool | Description |
---|---|---|
Apache/IIS Log | Apache Logs Viewer | 이전에 Log Parser Studio를 많이 사용했지만 대용량 분석의 문제점이 있어 현재 웹 공격 사고 분석의 메인으로 사용 중이다. |
$MFT | MFTExplorer | GUI 형식의 분석 도구로 $MFT에서 필요한 모든 정보를 파싱해주고 심지어 트리 구조로 재구성해준다. 단, $MFT 파일 크기가 크면 분석에 많은 시간이 소요되므로 작은 크기의 $MFT 분석 때 사용하거나 충분한 메모리를 준비하자. |
MFTECmd+ Timeline Explorer | $MFT에서 필요한 모든 정보를 파싱해주고 Timeline Explorer와 결합하면 GUI 형태로 분석이 가능하다. | |
$LogFile, $UsnJrnl | NTFS Log Tracker | 타 파일시스템 로그 분석 도구가 RAW 데이터를 표현해줘 이론적 바탕이 없으면 분석하기 어려운데 반해, 이 도구는 초보자도 쉽게 분석할 수 있도록 로그를 잘 가공해 보여준다. SQLite로 데이터를 추출해주기 때문에 데이터가 많다면 SQLite 뷰어로 쿼리문을 작성해보자. |
Prefetch | WinPrefetchView | GUI 도구라 주요 정보의 필드별 정렬이 가능하고 특히 참조목록 정렬이 가능해 이상징후를 빠르게 찾을 수 있다. |
PECmd + Timeline Explorer | 프리패치 파일에서 얻을 수 있는 모든 포렌식 정보를 추출해주고, Timeline Explorer와 결합하면 GUI 형태로 분석이 가능하다. 다만, 참조목록이 단순 나열되어 있어 참조목록에서 이상징후를 찾는데 한계가 있다. | |
Shortcut (LNK) | LECmd + Timeline Explorer | UUID, DroidID를 제외하고 포렌식 분석에 필요한 모든 정보를 추출해주고, Timeline Explorer와 결합하면 GUI 형태로 분석이 가능하다. |
Jumplist | JumpList Explorer | GUI 형식의 점프목록 분석 도구로 구조화된 정보를 한눈에 볼 수 있다. |
JLECmd + Timeline Explorer | 점프목록에서 얻을 수 있는 정보를 모두 추출해주고, Timeline Explorer와 결합하면 GUI 형태로 분석이 가능하다. | |
Registry AppCompatCache | Registry Explorer | GUI 형식의 레지스트리 분석 도구로 기본 키/값/데이터 복구도 지원하고 대부분의 인코딩된/바이너리 형식의 레지스트리 값을 해석해준다. 북마크를 통해 주요 데이터를 빠르게 접근할 수 있는 기능도 있다. |
RegRipper | Perl로 구현된 레지스트리 파싱 도구로 최신 이슈가 가장 빠르게 반영된다. 텍스트 기반의 출력을 제공하기 때문에 레지스트리 주요 데이터에 대한 사전 이해가 필요하다. | |
Event Logs | Message Analyzer | 2019년 말에 폐기되어 공식적인 다운로드 링크를 사라졌지만 한동안 이벤트 로그 분석은 이 도구를 벗어날 수 없다. 이벤트 데이터 파싱부터 그룹핑, 필터링까지 원하는 모든 분석 기능을 제공한다. |
Web Browser | BrowsingHistoryView | Chrome, IE/Edge, FireFox, Opera의 히스토리를 통합해 보여주는 GUI 도구로 이미지 데이터를 분석하기 위해서는 마운트하거나 히스토리만 별도 폴더로 추출해 입력해야 한다. |
Hindsight | 브라우저 데이터 중 대부분 히스토리, 캐시, 쿠키 분석에만 집중하는데 반해 해당 도구는 크롬의 다양한 데이터를 분석해 CSV로 출력해준다. CSV 분석은 엑셀도 좋지만 앞서 소개한 Timeline Explorer를 추천한다. | |
Cache/CookiesView,… | 히스토리 분석으로 부족하다면 링크에 있는 다양한 캐시, 쿠키 분석 도구를 사용해보자. | |
ShellBags | ShellBags Explorer | GUI 형식의 셸백 분석 도구로 호스트 환경에 따라 오류 발생이 많지만 그래도 이만한 도구가 없다. |
Amcache | AmcacheParser + Timeline Explorer | 분석에 필요한 주요 정보를 CSV 형식으로 추출해준다. 앰캐시는 Hive 구조를 가지고 있기 때문에 추출되지 않는 정보를 확인하고 싶다면 레지스트리 분석 도구로 분석하자. |
Windows Timeline | WxTCmd + Timeline Explorer | 타임라인이 저장되는 ActivitiesCache.db 파일의 주요 데이터를 CSV 형식으로 추출해주는 도구로 Timeline Explorer와 결합해 GUI 형태로 분석할 수 있다. |
Windows Search | WinSearchDBAnalyzer | EDB 형식의 검색 데이터베이스는 필드가 너무 많아 대부분의 EDB 파서에서 효과적으로 보여주지 못했다. 이 도구는 EDB의 단순 파싱을 넘어 포렌식 분석에 효과적인 형태로 데이터를 가공해준다. |
SRUM | srum-dump | SRUDB.dat의 정보를 Excel 파일로 추출해준다. |
thumbcache_*.db, iconcache_*.db | Thumbcache Viewer | 예전에 ThumbnailExpert라는 도구가 참 좋았는데 더이상 서비스를 하지 않는 상황에서 불편하지만 그래도 썸네일과 아이콘 캐시를 모두 지원한다는 장점이 있다. |
# 기타 도구
Function | Tool | Description |
---|---|---|
Timeline Generator | Plaso | 시간 정보를 포함하는 아티팩트를 통합시켜주는 타임라인 분석 도구로 시점이 특정되었거나 놓치고 있는 흔적이 있는지 궁금하다면 사용해보자. 이미지 파일을 입력으로 분석하면 시간이 오래 걸리기 때문에 빠른 결과를 원한다면 여러 아티팩트를 하나의 폴더로 추출한 후 해당 폴더를 입력으로 분석하자. 최근 버전에서 타임존 적용의 오류가 있으므로 주의해야 한다. |
Image Mounter | Arsenal Image Mounter | 많은 이미지 마운터가 있지만 대부분 가상 마운트인 것에 반해 이 도구는 iSCSI 드라이버를 이용해 물리 마운트를 지원한다. 때문에 이미지 파일의 VSC(Volume Shadow Copy)를 확인할 수 있다. 유료 버전은 VSC를 직접 마운트, VM 런처 기능을 지원하지만 무료 버전의 이미지 마운트만으로도 충분하다. |
Time Decoder | TimeLord | 시간 변환은 대부분 통합 도구에서 지원하지만 별도 유틸리티를 사용하고 싶다면 이 도구를 사용해보자. |