라이브 포렌식 도구란 포렌식 이미지에서 활성 상태의 대상 시스템에서 증거의 무결성을 최대한 유지하면서 필요한 디지털 증거를 수집 해주어야 하는 도구이다. 라이브 포렌식 도구들을 사용할 때, 휘발성 데이터를 비롯한 사건 해결에 필요한 디지털 증거만을 선별적으로 자동 수집하여 초기 수사를 효과적으로 진행할 수 있어야 한다. 라이브 포렌식 도구가 이와 같은 기능을 디지털 기기에 대한 전문적인 지식이 부족한 포렌식 수사관도 큰 어려움 없이 초기 수사를 진행할 수 있어 수사의 효율성을 기대할 수 있다.

• FPLive_win
• WFT(Windows Forensic Toolchest)
• Dual Purpose Volatile Data Collection Script
• IRCR(Incident Response Collection Report)
• CDLFS
• COFEE
• SPO Investigator

라이브 포렌식 도구 기능 분석[편집]

기능 분석 결과, 선정한 라이브 포렌식 도구들은 스크립트 형식의 도구들과 자체 수집 기능을 가진 도구로 나뉜다. 첫 번째로 스크립트 형식의 라이브 포렌식 도구는 라이브 포렌식 자체가 수집 및 분석 기능을 수행하는 것이 아닌 운영체제 API 혹은 제 3의 도구(third-party)가 그 역할을 수행함을 확인할 수 있었다. 따라서, 스크립트 형태의 라이브 포렌식 도구 활용도는 ‘서드파티를 얼마나 오류없이 잘 실행시키는가’를 평가함으로써 도구의 실질적인 기능을 평가할 수 있다. 스크립트 형식의 도구는 FPLive_Win, WFT, Dual Purpose Volatile Data Collection Script, IRCR이 있으며, 성능 분석 시 사용할 툴은 아래 [표 1]과 같다.

위의 표와 같이 라이브 포렌식 도구 내에서 사용 가능한 서드파티 프로그램들 중 분석 시 자주 사용되는 서드파티 툴을 선별한 후 선별된 툴 사용해 라이브 포렌식 도구로 정보를 수집한 후 생성된 결과 값(생성된 파일)을 비교하고 사용법 난이도, 출력 파일형식, 수집 중 에러, 레포트 생성 여부를 평가하였다. 두 번째로 자체 수집 기능을 가지는 라이브 포렌식 도구들의 활용도는 ‘어떠한 정보를 수집하고 얼마나 분석하기 용이한가’로 도구의 실질적인 기능을 평가할 수 있다. 자체 수집 기능을 가지는 라이브 포렌식 도구들은 CLDFS, SPO Investigator, COFEE가 있으며 수집된 정보, 옵션, 가독성, 사용 편의성을 평가하였다.

테스트 결과, 스크립트 형식의 라이브 포렌식 도구에서 지원하는 기능들은 자체 수집 기능을 지원하는 라이브 포렌식 도구에서 대부분 지원되었다. 따라서 편의성, 무결성, 수집된 정보, 가독성 등을 평가했을 때 SPO Investigator를 사용할 것을 권장한다. 다만 메모리의 변조 유무가 중요한 수사를 진행할 경우 CLI 기반의 CLDFS를 사용하여 메모리 변조를 최소화 할 것은 권장한다.