테스트 데이터 세트 구축
둘러보기로 가기
검색하러 가기
도구들의 기능을 파악한 후 객관적인 분석을 위한 테스트 세트 구축 전략을 수립하였다. 도구의 목적과 용도에 따라 분석 대상의 형태가 다양하므로 이를 고려하였다. [표 1]은 도구 분류별로 기능 분석에 필요한 테스트 세트의 유형을 나타낸 것이다. ‘디스크 이미지’, ‘가상머신’, ‘스마트폰 이미지’ 중 해당되는 유형을 확인할 수 있다.
| 분류 | 디스크 이미지 | Virtual Machine | 스마트폰 이미지 |
|---|---|---|---|
| 통합 디지털 포렌식 도구 | O | ||
| 데이터 복구 도구 | O | ||
| 포렌식 Live CD / VM | O | ||
| Triage 도구 | O | ||
| 라이브 포렌식 도구 | O | ||
| 이미징 도구 | O | ||
| 이미지 마운트 도구 | O | ||
| 파일시스템 메타데이터 분석 도구 | O | ||
| 메모리 획득 도구 | O | ||
| 메모리 분석 도구 | O | ||
| 레지스트리 분석 도구 | O | O | |
| 타임라인 분석 도구 | O | ||
| 링크파일 분석 도구 | O | ||
| 로그 분석 도구 | O | ||
| 웹브라우저 사용흔적 분석 도구 | O | ||
| 프리패치 분석 도구 | O | ||
| 이메일 분석 도구 | O | ||
| 기타 포렌식 도구 | O | O | |
| 스마트폰 | O | ||
| 헥스 편집기 | O | ||
| DB | O | ||
| 문서파일 | O | ||
| 인코딩 | O |
표에서 확인할 수 있듯이 Triage 도구, 라이브 포렌식 도구 등 활성 시스템에서 동작하는 도구가 많아 시스템 포렌식 도구 기능 분석을 위해서는 단순 디스크 이미지만으로는 한계가 있음을 알 수 있다. 이에, 디스크를 포함한 가상머신을 테스트 세트로 구축하였으며 가상머신에는 각 도구들의 기능을 분석할 수 있는 아티팩트를 구성해놓았다. 데이터 복구 도구의 경우 운영체제가 설치된 이미지로 실험할 경우 삭제된 데이터 관리와 실험의 장시간 소요, 검증의 어려움 등의 한계로 별도의 USB 이미지를 구축하였다. 스마트폰은 제조사별로 종류가 다양하므로 국내에서 널리 사용되는 기기로 구축하였다. 각 스마트폰에는 분석 대상 도구들이 지원하는 어플리케이션을 설치하여 사용하였으며 복구 기능 분석을 위해 임의로 삭제하였다.
