AXIOM은 MAGNET 사의 종합적인 디지털포렌식 솔루션으로서, 다양한 OS 및 플랫폼과 상용 프로그램에 대한 아티팩트 분석을 지원한다. AXIOM은 크게 증거 처리를 하는 AXIOM Process와 다양한 익스플로러 지원을 이용해 증거 상세 내용을 확인할 수 있는 AXIOM Examine으로 구성된다.
본 글에서는 AXIOM Process 전 단계에 대한 설명과 좀 더 빠른 프로세싱을 위한 옵션 설정 법과 같은 내용들을 다룰 예정이다. 이외에 전반적인 AXIOM 소개와 관련한 자세한 내용은 아래의 블로그 글에서 확인할 수 있다.
김민주
AXIOM Process의 증거 처리 단계
AXIOM Process의 증거 처리는 총 4단계, "증거 수집 및 추가 ➡ 프로세싱 옵션 설정 ➡ 아티팩트 상세 분석 옵션 입력 ➡ 프로세싱 진행"으로 구분된다.
프로세싱 시 추천 환경
AXIOM Process뿐만 아니라, AXIOM은 많은 리소스를 사용하고 컴퓨터의 높은 사양이 요구되는 프로그램이다. 그렇기 때문에 좋은 RAM과 빠른 SSD에서 프로세싱하는 것을 추천한다.
또한 AXIOM Process로 프로세싱 시 다른 작업을 같이 진행하면 프로세싱 속도가 현저히 느려지므로, 프로세싱 이외의 추가 작업을 하지 않는 것을 추천한다. 이때, 다른 작업은 추가 프로세싱만이 아닌 다른 프로그램을 이용한 작업도 해당한다.
이외에도 AXIOM 프로세싱은 여러 개의 임시 파일을 자체적으로 생성하는 방식으로 진행된다. 만약 AV(안티바이러스) 실시간 보호 기능을 켜놓는다면, AXIOM이 생성하는 임시 파일을 일일이 검사하므로, 프로세싱 속도가 느려진다. 악성코드 분석을 하는 경우, 분석 대상 악성코드에 대해 생성된 임시 파일이 해당 기능을 통해 악성코드로 인식돼 삭제될 수도 있다. 따라서, AXIOM 프로세싱을 할 때에는 AV 실시간 보호 기능을 꺼두는 것을 추천한다.
• 안정적이고 높은 퍼포먼스를 낼 수 있는 환경
(서버 > 워크스테이션 > 데스크탑 > 노트북)
• 프로세싱 이외의 추가 작업 금지
• AV 실시간 보호 기능 OFF
증거 수집 및 추가
AXIOM Process에서 증거 수집 및 추가는 Evidence Sources 탭에서 할 수 있으며, 수집 및 추가되어 증거물로 추가된 화면은 위[그림 2]와 같다. AXIOM에서 지원하는 이미지 및 파일 형식은 아래의 표와 같다.
|
이미지 / 파일 형식 |
확장자 |
Fragment 이미지 지원 여부 |
|
Advanced Forensics File 이미지 |
.AFF4, .AFF4-L |
지원 |
|
Archive 파일 |
.cpio, .cpio.gz, .crash, .docx, .hpak, .gz, .gzip, .pptx, .rar, .tar, .tar.gz, .tgz, .xlsx, .zip, .zip.001, .z00, z01, .7z, .7z001 |
일부 지원 (.gzip, .rar, .zip, .zip.001, .7z.001) |
|
Cellebrite 이미지 |
.ufd, .ufdx |
지원 |
|
EnCase 이미지 |
.E01, .Ex01, .L01, .Lx01 |
지원 |
|
FTK 이미지 |
.AD1 |
|
|
macOS 디스크 이미지 |
.dmg |
|
|
RAW 이미지 |
.bif, .bin, .dd, .dmp, .fip, .ima, .img, .mfd, .mem, .raw, .vfd, .mdf |
일부 지원 (DD 이미지) ex. .000, .001, .0000, .0001 등 |
|
가상머신 이미지 |
.vdi, .vhd, .vhdx, .vmdk, .xva |
증거 수집 및 추가할 때 증거물 검색 유형(Full(Default), Quick, Sector Level, Custom)에 대해 설정할 수 있다. 각 유형별 프로세싱 시간 소요는 차이가 없으며, AXIOM의 강점인 파일 카빙 및 정밀 복구를 활용하기 위해서는 Full로 프로세싱하는 것을 추천한다.
프로세싱 옵션 설정
설정할 수 있는 프로세싱 옵션은 크게 2가지로 AXIOM Process 상단에 있는 Tools 메뉴 내 Setting에서 설정할 수 있는 옵션과 증거물 추가 후 Processing Details 탭에서 설정할 수 있는 옵션이 있다.
1) Tools 메뉴 내 Settings
Tools 메뉴 내 Settings에서 설정할 수 있는 옵션들은 로깅 여부, 추가적인 플러그인 사용과 같은 프로세싱의 전반적인 과정에 대한 설정이다.
먼저 Tools 메뉴 내 Settings에는 Logging이라는 프로세싱 과정 로깅 여부에 대한 옵션이 있다. 해당 옵션은 기본적으로는 활성화되어 있어, 매번 AXIOM 프로세싱 과정이 로깅 된다. 하지만 로깅 하는 과정에서 많은 리소스가 쓰여 AXIOM 성능이 저하된다. 그렇기 때문에 프로세싱 로깅이 필요한 상황이 아니면 프로세싱의 속도를 높이기 위해 끄는 것을 추천한다.
AXIOM은 기본 기능을 이용한 프로세싱 이외에도 추가 플러그인을 이용한 프로세싱을 지원하고 있다. 그중 가장 대표적인 것이 Passware 플러그인을 사용해 암호화된 이미지의 복호화를 지원하는 것이다. 해당 옵션은 기본적으로 활성화되어 있지만, Passware 라이선스가 활성화되어 있을 때만 사용 가능하다.
2) Processing Details
Processing Details는 증거 수집 및 추가했을 때 설정할 수 있는 옵션이며, 프로세싱 시 같이 진행되어야 할 세부적인 내용들에 대해 설정할 수 있다. Processing Details에서 설정할 만한 옵션은 크게 2가지로 Search Archives and Mobile Backups와 Add Keywords to Search 옵션이다.
Search Archives and Mobile Backups 옵션 내 Nested Archives and Mobile Backups 옵션을 이용해 프로세싱 속도를 높일 수 있다. Nested Archives and Mobile Backups 옵션은 압축된 파일 및 모바일 백업에 대해 한 번에 몇 단계까지 압축 해제 및 검색할지 설정하는 항목이다. 최대 100개의 중첩까지 지원하니, 보다 빠른 압축 해제 및 모바일 분석을 원한다면 중첩 수를 늘려 프로세싱을 진행하는 것을 추천한다.
Add Keywords to Search 옵션은 프로세싱 시 아티팩트(Artifacts)만 혹은 모든 컨텐츠(All content) 내에서 키워드 검색 여부를 설정할 수 있는 옵션이다. 키워드는 정규식이나 Encoding 방식으로 검색할 수 있다. 만약 모든 컨텐츠 내에서 검색하게 된다면, 시간이 오래 걸리고 오탐이 많을 수 있으므로, 아티팩트를 대상으로 검색하는 것을 추천한다.
이외에도 OCR을 PDF 문서 대상으로 할지 사진 대상으로 할지 설정할 수 있는 옵션(Extract Text from Files(OCR))도 있다. 해당 옵션 활성화 시 PDF 문서 및 사진들의 양에 따라 소요 시간이 4~5배는 오래 걸리므로, 필요하지 않은 경우에는 설정하지 않는 것을 추천한다.
• 불필요 시 Logging 옵션 비활성화
• Passware 라이선스 없으면 관련 옵션 비활성화
• 중첩 수는 최대 100까지 가능
• Artifacts 대상으로 키워드 검색 진행
• OCR 옵션은 필요할 때만
아티팩트 상세 분석 옵션 입력
특정 옵션을 입력하지 않아도 기본 분석이 진행되지만, 상세 분석을 진행하기 위해서는 Artifact Details 탭에서 추가 옵션을 입력해 줘야 한다. 관련 내용은 아래의 블로그 글에 자세히 정리되어 있다.
Juyeon Hyun프로세싱 진행
프로세싱 진행 시 오류가 발생한 아티팩트의 경우 예외 처리가 되어 따로 태깅된다. 따라서, 어떤 부분에서 오류가 발생해 예외 처리됐는지는 AXIOM Examine에서 쉽게 Tags and Comments 항목을 이용해 쉽게 확인 가능하다. 오류가 발생한 아티팩트 말고도 프로세싱 과정에서 발생한 오류를 확인하고 싶으면, 지정한 케이스 생성 경로 내에 "log.txt" 파일을 참고하면 된다.
