BlackLight
목차
소개[편집]
BlackLight는 BlackBag 社에서 만든 통합 포렌식 도구이며 Windows 환경이나 Mac OSX 환경에서 실행 가능하다. 상용 소프트웨어로써 공식홈페이지 기준 $2,600(약 269만원)에 구입 가능하다. 주요 실행 기능은 Mac Forensic이며 지원하는 대표적인 기능은 아래와 같다.
- Quickly Acquire a Snapshot of the User's Device
- Efficiently Sift Through Large Data Sets
- Find the Picture and Video Evidence You Need
- Uncover a Full Account of Social Media Activity
- Recover Every Message from the Most Common Sources
- Get a Comprehensive Look at iPhones and iPads
- Customize Your Report
사용법[편집]
BlackLight를 실행하면 [그림 2]과 같이 ‘BlackLight Case Manager’가 표시된다. 우측 상단의 ‘New...’ 버튼 클릭 시 케이스를 생성할 수 있고, 이전에 생성한 케이스 파일이 존재한다면 ‘Browse...’ 버튼을 눌러서 케이스 파일을 선택하여 케이스를 열 수 있다. 케이스 파일을 하나 이상 등록한 경우 이후 BlackLight 실행 시, 생성한 케이스의 목록이 출력된다.
케이스 파일을 생성하면 [그림 3]와 같이 ‘Case Info’를 입력할 수 있는 화면이 출력된다. 화면에서 조사관 및 케이스에 대한 간략한 정보를 입력할 수 있으며, 좌측 상단의 ’Case Info’ 아이콘을 클릭하여 언제든 수정할 수 있다.
[그림 4]는 디지털포렌식 조사에 있어서 분석 대상이 되는 장치 및 이미지를 추가하는 방법을 보여준다. 좌측의 ‘DEVICES’ 항목에 ‘Add’ 버튼을 클릭하면 [그림 4]와 같은 메뉴가 나타나며 분석 대상 이미지, USB 장치, 암호화된 iOS 디스크 이미지, iOS 백업 파일, 폴더, 연결된 장치 중 하나를 선택하여 분석 대상을 지정한다.
분석 대상 이미지 또는 장치를 선택하면 [그림 5]과 같이 ‘Evidence Selection’ 창이 나타난다. 이 창은 분석 대상의 파티션 정보를 출력하며 파티션 정보의 우측에 있는 체크 박스를 통해 분석 대상을 지정할 수 있다. 분석 파티션 지정 시, 파일 분석, 파일 해시, 미할당영역에 대한 분석을 자동적으로 수행하도록 옵션을 지정할 수 있다. 분석 대상에 대한 옵션을 모두 지정하였다면 우측 하단의 ‘Add’ 버튼을 클릭한다.
[그림 6]은 분석할 이미지를 추가할 경우 나타나는 ’Device Status’ 화면이다. 파티션에 대한 파일 시스템 분석과 파일 분석 및 해시 값을 계산하며 사용자 설정에 따라 미할당영역 분석, 그림 및 비디오 분석도 추가적으로 진행할 수 있다. 파티션의 크기가 클수록 시간이 많이 소요되며 각 항목이 완료되지 않은 경우 BlackLight 내의 기능사용에 있어서 결과가 정상적으로 출력되지 않는다.
도구 기능[편집]
지원 운영체제 및 사양[편집]
BlackLight는 Windows 환경과 MacOSX에서 동작하며 X-Ways Software Technology AG 社에서는 권장사양의 환경에서 구동할 것을 권고하고 있다. 지원 운영체제 및 하드웨어 요구 사항은 [표 1]와 같다.
| 시스템 요구 사양 | |
|---|---|
| CPU | Dual Core processor Quad Core i7 or Higher (권장) Intel 계열 CPU에서만 동작함 |
| RAM | 4 GB RAM (최소 사양) 16 GB RAM (권장 사양) |
| DISK | 운영체제 드라이브 : SATA 7200 RPM 성능의 하드디스크 |
| 증거 저장 드라이브 : SATA 7200 RPM 성능의 하드디스크 | |
| 증거 백업 드라이브 : SATA 7200 RPM 성능의 하드디스크 | |
| OS | Windows 7 (32-bit) Windows 7 (64-bit) Windows 8 Windows 8.1 Windows Server 2012 Windows Server 2012 R2 |
Search[편집]
[그림 7]은 분석 대상 파티션에서 사용자가 원하는 문자열을 검색하기 위한 ‘Search’ 기능의 설정 창이다. ‘Search’ 이름을 설정한 뒤, ‘(1)’번 창에서 문자열을 검색할 대상 파티션을 선택 하고, 문자열 검색 대상으로 제외할 파일의 확장자를 ‘(2)’번 창에서 설정한다. ‘(3)’번 창에서는 사용자가 검색할 문자열을 키워드로 추가하며, ‘(4)’번 창에서 검색할 대상을 Content only, Content and File Names, File Names only 중 하나로 선택하고 유니코드 적용 유무, 대상 파일의 크기 제한 등의 설정을 한다. 모든 옵션 선택이 완료되면 ‘(5)’번 ‘Start Search’ 버튼을 클릭한다.
[그림 8]는 ‘Search’ 기능의 검색 결과이다. ‘(1)’번 창에서 진행 상태가 표시되며 ‘Skip File’ 버튼은 있어 특정 파일에서 검색 중인 경우, 검색을 중단하고 다음 파일을 대상으로 키워드 검색을 진행한다. ‘Stop’ 버튼은 ‘Search’ 기능을 멈출 수 있다.
검색 결과는 ‘(2)’번 창에 나열되며 파일 이름, 파일의 경로, 키워드 문자열, 검색 횟수 등이 표시된다.
Details[편집]
[그림 9]은 분석 대상 파티션의 상세 정보를 출력해주는 ’Details’의 결과 화면이다. 상세 설명을 보고자하는 파티션을 좌측에서 선택한 후, 우측 상단의 ‘Details’ 아이콘을 선택하면 관련 정보를 출력한다. OS 정보, 파티션 정보, OS 계정정보, 파티션에 저장되어 있는 파일의 종류, iOS 백업 파일, iPod 및 iOS 연결 기록 등을 출력한다.
Browser[편집]
[그림 10]은 파티션 내 파일 및 디렉터리 구조를 출력하는 ‘Browser’ 기능의 결과화면이다. ‘(1)’번 창에 파일 및 디렉터리가 출력되며, ‘(2)’번 창에는 사용자가 선택한 파일에 대한 데이터가 Hex 값으로 출력된다.
File Filter[편집]
[그림 11]는 파티션 내에 존재하는 파일 및 디렉터리 중 사용자가 원하는 조건에 데이터를 추출하여 출력하는 ‘File Filter’ 기능의 설정 화면이다.
‘(1)’번의 목록과 같이 분류할 메타데이터를 선택하면 ‘(2)’번의 목록이 활성화 된다. ‘(2)’번의 목록에서는 contains, starts with, ends with, is, is not의 조건을 설정할 수 있으며 ‘(3)’번 창에서 필터 조건을 입력한 뒤 ‘Filter’ 버튼을 클릭하면 ‘(4)’번 창에 그 결과가 출력된다. 이 기능은 사용자가 원하는 파일을 검색 할 때 사용한다.
Media[편집]
[그림 12]은 파티션 정보를 출력하는 ‘Device Status’ 창이다. ‘Media’ 기능을 사용하기 위해서는 [그림 12]과 같이 파티션의 ’Pictures’, ’Videos’ 항목이 ’Run’ 이 아니라 ’Finished’로 완료 되어야 결과를 확인할 수 있다. ‘Media’ 기능을 사용하기 위해 [그림 12]과 같은 화면에서 ’Run’ 버튼을 클릭 하면 분석이 시작되고 ’Finished’ 후에 사용한다.
[그림 13]는 조사 대상 파티션에 존재하는 그림 파일과 영상 파일을 추출하여 출력하는 ’Media’ 기능을 사용한 예시 화면이다. 파티션 내에 존재하는 모든 그림 파일과 영상 파일을 ‘(1)’번 창에 출력해주며, (1)번 창에 있는 파일 선택 시 ‘(2)’번 창에 해당 파일의 데이터를 Hex 값으로 출력해준다. ‘(1)’번 창 상단에서 정렬 방식 및 출력할 파일의 종류를 선택할 수 있으며 ‘Limit to current File Filter’ 항목의 체크박스에 체크할 경우 앞서 설명한 ‘File Filter’ 조건을 적용할 수 있다.
Messaging[편집]
[그림 14]는 Mac OS에서 사용할 수 있는 메신저인 ’SMS Messages’, ’iChat’, ’Skype’ 프로그램에 대한 메시지 내역을 파싱하여 출력하는 ’Messaging’ 기능의 결과 화면이다. 설정 사항이나 옵션 선택 없이 메신저의 종류를 선택하면 자동으로 데이터를 파싱하고 출력한다.
Internet[편집]
[그림 15]은 웹 브라우저의 사용 흔적을 파싱하는 ’Internet’ 기능의 결과 화면이다. 이 기능은 분석 대상 파티션에 설치된 인터넷 브라우저의 .plist 파일을 파싱하여 그 결과를 ‘(1)’, ‘(2)’번 창에 출력한다. ‘(1)’번 창에는 브라우저의 종류별 아티팩트 파일을 목록으로 보여주고, ‘(2)’번 창에서는 아티팩트 파일 선택 시 그 내용을 출력하며, ‘(3)’번 창에서는 아티팩트 파일의 데이터를 Hex값으로 출력한다.
Email[편집]
[그림 16]은 이메일 사용 흔적을 파싱해주는 ‘Email’ 기능의 결과 화면이다. 조사 대상 파티션에서 이메일 프로그램을 사용한 경우 메일 저장 파일을 보관하는 디렉터리가 존재한다. 저장 디렉터리 경로를 ‘Mail Directory’로 지정하면 ‘(1)’번 창에 메일박스의 목록이 출력되고, 메일 박스 선택 시, 해당 메일 박스 내 이메일 목록이 ‘(2)’번 창에 출력된다. ‘(2)’번 창에서 이메일을 선택하면 ‘(3)’번 창에 이메일의 내용이 출력된다.
Contacts[편집]
[그림 17]은 연락처 어플리케이션의 데이터를 파싱해주는 ‘Contacts’ 기능의 결과 화면이다. 조사 대상 파티션에 저장되어 있는 연락처 정보를 파싱하여 출력해준다. ‘(1)’번 창에는 저장되어 있는 연락처의 목록이 출력되고, ‘(2)’번 창에는 선택한 연락처에 대한 상세 내용이 출력된다.
Application[편집]
[그림 18]는 설치된 모든 어플리케이션을 출력해주는 ‘Application’ 기능의 결과 화면이다. 조사 대상 파티션에 설치된 어플리케이션의 목록을 ‘(1)’번 창에 출력하며, 선택한 어플리케이션에 대한 상세 설명은 ‘(2)’번 창에 출력된다.
Calendar[편집]
[그림 19]은 설치된 달력 관련 앱의 데이터를 파싱해주는 ‘Calendar’ 기능의 결과 화면이다. 조사 대상 파티션에 설치된 달력 어플리케이션의 데이터를 파싱하여 ‘(1)’번 창에 날짜별 스케줄 내용을 목록화하며 ‘(2)’번 창에는 스케줄에 대한 메모 내용을 출력한다.
Locations[편집]
[그림 20]은 지도 검색 어플리케이션의 사용 흔적을 파싱해주는 ‘Locations’ 기능의 결과 화면이다. 조사 대상 파티션에 설치된 지도 어플리케이션에서 검색한 지도 상의 위치, 경로 등의 정보를 저장하는 파일들을 파싱하여 창에 출력한다.
Notes[편집]
[그림 21]는 메모 관련 어플리케이션의 데이터를 파싱해주는 ‘Notes’ 기능의 결과 화면이다. 조사 대상 파티션에 설치된 노트 및 메모 관련 어플리케이션에 의해 저장된 내용을 ‘(1)’번 창에 목록화 하고, ‘(2)’번 창에 그 내용을 출력한다.
Report[편집]
[그림 22]은 보고서를 자동으로 생성해주는 ‘Report’ 기능의 설정 화면이다. ‘(1)’번 창에서 보고서 날짜와 생성할 보고서 파일의 종류를 선택할 수 있다. ‘(2)’번 창에서 보고서에 들어갈 로고와 제목을 변경할 수 있으며 ‘(3)’번 창에서 보고서에 포함될 항목을 선택할 수 있다. 모든 설정이 완료되면 ‘(1)’번 창에 있는 ‘Generate Report’ 버튼을 누르고, 보고서 파일의 저장 경로를 지정하면 보고서 파일이 생성된다.
제한 사항[편집]
BlackgLight는 Windows 환경과 MacOSX환경에서 구동된다. Windows 운영체제 지원은 Windows 7, Windows 8, Windows 8.1 과 같은 Windows 7 이상 운영체제 환경을 지원하고 32비트 및 64 비트 환경을 지원한다. MacOSX 운영체제 지원은 Mavericks 보다 낮은 버전의 운영체제를 지원한다. HFS파일 시스템 해석 시 디스크 이미지파일을 해석할 수 있으며 EFS의 경우 키체인 파일을 사용하여 파일시스템 해석을 한다.
수사 활용방안[편집]
통합 포렌식 도구로써 MacOSX환경에서 사용자 흔적위주로 매체를 분석한다. 파일 시스템 브라우징과 미할당영역 복구 기능을 지원하며 Mac운영체제 설치 시 기본으로 제공하는 이메일, 인터넷, 메시지, 일정, 지도, 노트와 같은 해석을 제공한다. 그러나 Windows 환경에서는 프로그램 동작이 불안한 점이 존재하며 Mac OSX상에서 실행 시에는 비교적 안정적으로 동작한다. 따라서 수사관이 직접 분석할 수 있는 환경에서 보조적인 도구로 활용 가능할 것으로 기대한다.
