C.A.IN.E
소개[편집]
C.A.IN.E(Computer Aided Investigative Environment)는 Caine에서 개발한 포렌식 Live CD/VM이며 프리웨어로 제공된다. 최신 업데이트는 2014년 1월 17일이며, 최신 버전은 5.0이다. 본 위키에서는 최신버전인 5.0버전을 사용하였다.
C.A.IN.E에서 제공하는 포렌식 도구들의 카테고리는 통합 포렌식 분석 도구, 데이터 복구 도구, 브라우저 히스토리 분석 도구, 데이터베이스 분석 도구, 저장장치 데이터 수집 도구, 네트워크 분석 도구, 파일시스템 분석 도구, 멀티미디어 분석 도구, 모바일 분석 도구 등이다. C.A.IN.E에서 제공하는 도구 중 일반적으로 자주 사용되는 도구들은 SQLiteBrowser, dd, Wireshark, TCP dump, Sleuthkit 등이 있다. 특히 C.A.IN.E 5.0에서는 Win-UFO와의 제휴로 Win-UFO를 포함하고 있어 Win-UFO v2.0.1에 포함되어 있는 분석도구를 사용할 수 있다.
C.A.IN.E의 실행 화면은 [그림 1]과 같다.
![[그림 1] CAINE 실행 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:CAINE_%EC%8B%A4%ED%96%89_%ED%99%94%EB%A9%B4.png)
사용법[편집]
C.A.IN.E의 버전 확인은 [그림 2]와 같이 할 수 있으며, Ubuntu 12.04 LTS를 기반 OS로 사용하고 있음을 확인할 수 있다.
![[그림 2] C.A.IN.E OS 버전 확인 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:C.A.IN.E_OS_%EB%B2%84%EC%A0%84_%ED%99%95%EC%9D%B8_%ED%99%94%EB%A9%B4.png)
이에 따라 C.A.IN.E에서도 Ubuntu 12.04 LTS의 명령어를 그대로 사용할 수 있다. C.A.IN.E의 root 패스워드는 [그림 3]과 같이 설정할 수 있다.
![[그림 3] C.A.IN.E root 패스워드 설정 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:C.A.IN.E_root_%ED%8C%A8%EC%8A%A4%EC%9B%8C%EB%93%9C_%EC%84%A4%EC%A0%95_%ED%99%94%EB%A9%B4.png)
C.A.IN.E과 별도로 Win-UFO와의 제휴로 cain5.0 iso에는 Win-UFO.exe가 포함되어 있으며, [그림 4]와 같이 cain5.0 iso를 윈도우즈 환경에서 마운트 하여 사용할 수 있다.
![[그림 4] Win-UFO 실행 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Win-UFO_%EC%8B%A4%ED%96%89_%ED%99%94%EB%A9%B4.png)
도구 기능[편집]
C.A.IN.E이 내장하고 있는 포렌식 도구 리스트는 [표 1]과 같다.
| 구분 | 도구명 |
|---|---|
| 통합 포렌식 분석 도구 | EnCase |
| 데이터 복구 도구 | gzrecover |
| boot-repair | |
| Scalpel | |
| 웹 브라우저 히스토리 분석 도구 |
Galleta |
| mork.pl | |
| Pasco | |
| 데이터베이스 분석 도구 | SQLiteBrowser |
| 저장장치 데이터 수집 도구 | myrescue |
| Guymager | |
| Ddrescue | |
| dd | |
| DCFLDD | |
| Tableau-Parm | |
| Bulk-Extractor | |
| 네트워크 분석 도구 | Wireshark |
| tcpdump | |
| Cryptcat | |
| tcpflow | |
| 파일시스템 분석 도구 | SleuthKit |
| Offset_Brute_Force | |
| TSK_Gui(Sleuthkit GUI) | |
| 멀티미디어 분석 도구 | FileInfo(jpeg, P32) |
| Stegbreak(Steganography) | |
| Steghide | |
| Xdeview | |
| 모바일 분석 도구 | iphone backup analyzer |
| BBT.py | |
| OS 아티팩트 분석 도구 | Rifiuti |
| vshadowmount | |
| Lnk-Parse | |
| lnk.sh | |
| Reglookup | |
| Userassist | |
| 타임라인 분석 도구 | Log2Timeline |
| NBTempo | |
| 기타 | dislocker |
| Read_open_xml | |
| Chntpw |
Win-UFO가 내장하고 있는 포렌식 도구 리스트는 [표 2]와 같다.
| 구분 | 도구명 |
|---|---|
| 웹 브라우저 분석 도구 | BrowsingHistoryView |
| ChromeCacheView | |
| FavoritesView | |
| FirefoxDownloadsView | |
| FlashCookiesView | |
| IECacheView | |
| IECookiesView | |
| IEHistoryView | |
| MozillaCacheView | |
| MozillaCookiesView | |
| MozillaHistoryView | |
| OperaCacheView | |
| MyLastSearch | |
| SafariCacheView | |
| SafariHistoryView | |
| 로그 뷰어 | BluetoothLogView |
| LastActivityView | |
| MyEventViewer | |
| RecentFilesView | |
| SkypeLogView | |
| USBDeview | |
| VideoCacheView | |
| WinPrefetchView | |
| WinUpdatesList | |
| 멀웨어 분석 도구 | ClamWin Antivirus |
| HijackThis | |
| McAfee Stinger | |
| Spybot – Search & Destroy | |
| 패스워드 복구 도구 | BulletsPassView |
| ChromePass | |
| Dialupass | |
| IEPassView | |
| LSASecretsView | |
| MailPassView | |
| MessenPass | |
| Netscapass | |
| NetworkPasswordRecovery | |
| OperaPassView | |
| PasswordFox | |
| ProtectedStoragePassView | |
| PstPassword | |
| RemoteDesktopPassView | |
| RouterPassView | |
| SniffPass | |
| VNCPassView | |
| WebBrowserPassView | |
| WirelessKeyView | |
| 리포트 도구 | AppCrashView |
| BlueScreenView | |
| DiskCountersView | |
| DiskSmartView | |
| DriveLetterView | |
| LiveContactsView | |
| MUICacheView | |
| NTFSLinksView | |
| OutlookAddressBookView | |
| OutlookAttachView | |
| OutlookStatView | |
| ShellBagsView | |
| UserAssistView | |
| UserProfilesView | |
| WhatlnStartup | |
| WinCrashReport | |
| WinListe | |
| 뷰어 | FTKImagerLite |
| IrfanView | |
| VLC Media Player | |
| 기타 | AlternateStreamView |
| Clipboardic | |
| CurrProcess | |
| ERUNT | |
| ESEDatabaseView | |
| ExifDataView | |
| InsideClipboard | |
| NK2Edit | |
| pcANYWHEREHostsScanner | |
| ProcessActivityView | |
| RamCapturer | |
| Recuva | |
| SearchFilterView | |
| SearchMyFiles | |
| ShellMenuView | |
| SysExporter | |
| TeamViewer | |
| WhatlsHang |
제한사항[편집]
C.A.IN.E의 경우에도 내장 도구 대부분이 구 버전이라는 제한사항을 가지고 있다. Wireshark의 경우 v1.6.7을 사용하고 있으며, log2timeline의 경우 v0.64를 사용하고 있어 최신 버전과 두 버전 이상 뒤쳐져있다.
또한 C.A.I.N.E에서 제공하는 도구들이 많기 때문에, 사용자가 각 도구들의 사용법을 숙지하고 있어야한다.
수사 활용 방안[편집]
CAINE v5.0 ISO에 포함된 Win-UFO는 윈도우즈 환경에서 사용 가능하며, 아이콘 클릭으로 해당 도구를 실행 할 수 있다는 장점을 가진다. 또한, 이미지 마운트만을 통해 Win-UFO의 내장 기능들을 모두 사용할 수 있으므로 별도의 Virtual Machine 설치나, OS를 설치할 필요가 없어 현장에서 간편한 GUI 환경의 수사를 진행할 수 있다.
