Chapter 3-3. Digital Forensics Tool에 대한 간단한 소개

무료로 사용하는 포렌식 툴을 목적이랑 같이 적어놨습니다!!

---

▶ Live CD

-> 실행되는 환경보다 이동장치 단에서 실행되는 도구를 말한다.

 

1) BackTrack

-> 포렌식보다 모의해킹에 더 특화된 Live CD. 그러나 디지털 포렌식 툴들이 추가되는 중

 

2) SIFT

-> 정보보호 교육기관인 SANS에서 개발한 포렌식 도구

 

3) DEFT

-> SIFT와 마찬가지로 포렌식만을 위한 Live CD 도구. 윈도우 대상

 

4) Santoku

-> 우분투 기반에 모바일 앱 위주의 악성코드 분석 도구

 

 

▶ Disk Imaging

-> 디스크 이미징 도구는 필수적. 하드디스크와 파일시스템에서 디지털 흔적을 제일 많이 발견함

 

1) FTK Imager

-> AccessData사에서 개발한 도구. 이미징 기능뿐 아니라 메모리 캡쳐, 디스크 이미지 분석 기능까지 제공

 

2) dd

-> 모든 OS 플랫폼에서 실행이 가능하고 nc와 같이 사용시 원격에서 디스크 이미징 수행 가능

 

 

▶ Memory

-> 날이 갈수록 악성코드의 언패킹이 어려워지고 있다. 따라서 메모리를 덤프하여 덤프 파일로 악성코드를 분석하는 경우가 많아지고 있다.

 

1) Volatility

-> 메모리 이미지를 통한 프로세스 덤프, 프로세스 메모리 덤프, 레지스트리 분석 기능 등 많은 기능을 지원하고 있다. Python으로 제작되어 대부분의 OS에서 동작이 가능하다.

 

2) ReadLine

-> GUI기반의 도구. 시각화 부분에서는 우수하나 메모리 이미지에 대한 시각화만 진행한다. 프로세스 덤프의 기능은 없다.

 

3) Volafox

-> 우리나라 사람이 만든 메모리 분석 도구. Mac OS X 메모리 분석에 특화되어 있는 도구이다. 다른 도구로는 Volafunx가 있는데 이것은 FreeBSD 메모리 분석에 특화된 도구이다.

 

▶ Network

-> 많은 사람들은 인터넷속에 살고 있다고 해도 과언이 아니다. 웹 브라우저를 분석하는 경우도 있지만 네트워크 패킷 분석을 수행하는 경우도 적지 않다.

 

다운로드와 관련된 흔적을 찾기는 쉬운데 전송과 관련된 흔적을 찾기는 쉽지 않다. 이런 경우에 네트워크 패킷을 분석하면 전송에 관한 흔적을 찾기 쉽다.

 

1) Wireshark

-> 패킷 캡쳐와 분석에 있어서 유명한 도구 중 하나이다. 패킷의 다양한 프로토콜들을 지원하고 암호화 프로토콜의 복호화 기능을 지원한다. 또한 시각화를 통해 사용자 편의를 보장한다.

 

2) Tcpdump

-> 리눅스에서 가장 많이 사용하는 패킷 캡쳐 도구. CLI 기반이며, 사용법을 알수록 편한 도구여서 전문가들이 자주 이용한다.

 

3) Scapy

-> 파이썬 기반으로 패킷 캡쳐는 물론 인터프리터를 통해 임의로 소켓을 조작하여 여럭지 플래그의 패킷을 사용자가 실시간으로 전송할 수 있는 장점이 있다.

 

 

▶ File System

-> 파일시스템 덤프 도구를 앞에서 소개했다면 이번에는 파일시스템 분석 도구이다.

 

1) TSK

-> ‘The Sleuth Kit’이라는 풀네임을 가지는 도구. NTFS, FAT, HFS+, Ext2, Ext3, UFS1, UFS2 등 분석을 지원한다.

 

2) Autopsy

-> TSK의 GUI 버전이다.

 

 

▶ File Carving

-> 파일이 조각화 되어 디스크에 존재할 때 파일 카빙 도구나 파일 복구 도구는 완벽히 복구하지 못한다. 아직도 연구가 많이 필요한 부분이다.

 

1) foremost

-> 옵션으로 카빙하고자 하는 파일의 확장자를 지정하면 해당 확장자 파일만 카빙하고, 지정하지 않거나 all을 선택하면 모든 확장자 카빙한다.

 

2) scalpel

-> foremost와 동일하게 시그니처 기반으로 파일을 복구하지만 다른 방식의 카빙 패턴도 가지고 있다.

파일시스템에서 데이터 조각들을 검색하여 하나로 모아 파일을 카빙한다. (FATx, NTFS, ext2/3, HFS+)

 

3) recoverjpeg

-> jpeg와 동영상 파일만을 카빙하는 도구이다.

 

 

▶ 기타 도구

-> 포렌식 업무에 필요한 도구들이다.

 

1) HxD

-> HexViewer이다.

 

2) SQLite Database Browser

-> 요즘 스마트폰 파일들이 거의 SQLite 파일 포맷이다. HexViewer로 분석해도 되지만 이 도구를 사용하면 테이블 별로 정보들을 볼 수 있어서 분석하기 쉬워지는 장점이 있다. 더 나아가 SQLite는 어떤 정보를 지우던 기본적으로 SQLite 파일 포맷에서는 지워지지 않기 때문에 포렌식 관점에서 더욱 중요한 의미를 가진다.

 

3) AnalyzMFT

-> MFT파일 분석 도구로 사용법이 간단하다. 이 도구의 결과를 CSV파일 등으로 지정하여 저장시 엑셀로 간단하게 MFT엔트리들을 분석할 수 있다.

 

4) lnkanalyser

-> 윈도우의 링크파일을 분석해 주는 도구이다.

 

5) DCode, TimeLord

-> TimeStamp 변환 도구이다. 포렌식에서 시간은 아주 중요한 정보인데, 특정 시간대로 변경해주는 기능을 한다.

 

6) BinText

-> 스트링을 나열해 주는 도구이다. 스트링 검색은 악성코드 분석이나 실행 파일 분석을 수행할 때 자주 사용된다.

 

7) Link Parser

-> 링크 파일의 각 오프셋을 파싱하여 정보를 분석해 보기 좋게 출력해준다.

 

8) AliveRegistry Viewer

-> 레지스트리 하이브를 tree 구조로 만들어 주고 각 하이브의 Value와 데이터를 regedit과 동일하게 보여주는 도구이다. 이 도구를 이용하면 비활성 레지스트리도 분석이 가능하고 하이브를 txt파일로 export시 하이브의 마지막 수정 시간 등 여러 가지를 파악할 수 있다.

 

9) WFT

-> Windows Forensics ToolChest의 약자로 포렌식에 필요한 Windows의 정보를 자동으로 수집 후 보고서를 작성해주는 도구이다.