C.A.IN.E

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

C.A.IN.E(Computer Aided Investigative Environment)는 Caine에서 개발한 포렌식 Live CD/VM이며 프리웨어로 제공된다. 최신 업데이트는 2014년 1월 17일이며, 최신 버전은 5.0이다. 본 위키에서는 최신버전인 5.0버전을 사용하였다.

C.A.IN.E에서 제공하는 포렌식 도구들의 카테고리는 통합 포렌식 분석 도구, 데이터 복구 도구, 브라우저 히스토리 분석 도구, 데이터베이스 분석 도구, 저장장치 데이터 수집 도구, 네트워크 분석 도구, 파일시스템 분석 도구, 멀티미디어 분석 도구, 모바일 분석 도구 등이다. C.A.IN.E에서 제공하는 도구 중 일반적으로 자주 사용되는 도구들은 SQLiteBrowser, dd, Wireshark, TCP dump, Sleuthkit 등이 있다. 특히 C.A.IN.E 5.0에서는 Win-UFO와의 제휴로 Win-UFO를 포함하고 있어 Win-UFO v2.0.1에 포함되어 있는 분석도구를 사용할 수 있다.

C.A.IN.E의 실행 화면은 [그림 1]과 같다.



[그림 1] CAINE 실행 화면
[그림 1] CAINE 실행 화면



사용법

C.A.IN.E의 버전 확인은 [그림 2]와 같이 할 수 있으며, Ubuntu 12.04 LTS를 기반 OS로 사용하고 있음을 확인할 수 있다.



[그림 2] C.A.IN.E OS 버전 확인 화면
[그림 2] C.A.IN.E OS 버전 확인 화면



이에 따라 C.A.IN.E에서도 Ubuntu 12.04 LTS의 명령어를 그대로 사용할 수 있다. C.A.IN.E의 root 패스워드는 [그림 3]과 같이 설정할 수 있다.



[그림 3] C.A.IN.E root 패스워드 설정 화면
[그림 3] C.A.IN.E root 패스워드 설정 화면



C.A.IN.E과 별도로 Win-UFO와의 제휴로 cain5.0 iso에는 Win-UFO.exe가 포함되어 있으며, [그림 4]와 같이 cain5.0 iso를 윈도우즈 환경에서 마운트 하여 사용할 수 있다.



[그림 4] Win-UFO 실행 화면
[그림 4] Win-UFO 실행 화면



도구 기능

C.A.IN.E이 내장하고 있는 포렌식 도구 리스트는 [표 1]과 같다.

[표 1] C.A.IN.E 내장 포렌식 도구 리스트
구분 도구명
통합 포렌식 분석 도구    EnCase
데이터 복구 도구    gzrecover
   boot-repair
   Scalpel
웹 브라우저 히스토리
분석 도구
   Galleta
   mork.pl
   Pasco
데이터베이스 분석 도구    SQLiteBrowser
저장장치 데이터 수집 도구    myrescue
   Guymager
   Ddrescue
   dd
   DCFLDD
   Tableau-Parm
   Bulk-Extractor
네트워크 분석 도구    Wireshark
   tcpdump
   Cryptcat
   tcpflow
파일시스템 분석 도구    SleuthKit
   Offset_Brute_Force
   TSK_Gui(Sleuthkit GUI)
멀티미디어 분석 도구    FileInfo(jpeg, P32)
   Stegbreak(Steganography)
   Steghide
   Xdeview
모바일 분석 도구    iphone backup analyzer
   BBT.py
OS 아티팩트 분석 도구    Rifiuti
   vshadowmount
   Lnk-Parse
   lnk.sh
   Reglookup
   Userassist
타임라인 분석 도구    Log2Timeline
   NBTempo
기타    dislocker
   Read_open_xml
   Chntpw


Win-UFO가 내장하고 있는 포렌식 도구 리스트는 [표 2]와 같다.

[표 2] Win-UFO 내장 포렌식 도구 리스트
구분 도구명
웹 브라우저 분석 도구    BrowsingHistoryView
   ChromeCacheView
   FavoritesView
   FirefoxDownloadsView
   FlashCookiesView
   IECacheView
   IECookiesView
   IEHistoryView
   MozillaCacheView
   MozillaCookiesView
   MozillaHistoryView
   OperaCacheView
   MyLastSearch
   SafariCacheView
   SafariHistoryView
로그 뷰어    BluetoothLogView
   LastActivityView
   MyEventViewer
   RecentFilesView
   SkypeLogView
   USBDeview
   VideoCacheView
   WinPrefetchView
   WinUpdatesList
멀웨어 분석 도구    ClamWin Antivirus
   HijackThis
   McAfee Stinger
   Spybot – Search & Destroy
패스워드 복구 도구    BulletsPassView
   ChromePass
   Dialupass
   IEPassView
   LSASecretsView
   MailPassView
   MessenPass
   Netscapass
   NetworkPasswordRecovery
   OperaPassView
   PasswordFox
   ProtectedStoragePassView
   PstPassword
   RemoteDesktopPassView
   RouterPassView
   SniffPass
   VNCPassView
   WebBrowserPassView
   WirelessKeyView
리포트 도구    AppCrashView
   BlueScreenView
   DiskCountersView
   DiskSmartView
   DriveLetterView
   LiveContactsView
   MUICacheView
   NTFSLinksView
   OutlookAddressBookView
   OutlookAttachView
   OutlookStatView
   ShellBagsView
   UserAssistView
   UserProfilesView
   WhatlnStartup
   WinCrashReport
   WinListe
뷰어    FTKImagerLite
   IrfanView
   VLC Media Player
기타    AlternateStreamView
   Clipboardic
   CurrProcess
   ERUNT
   ESEDatabaseView
   ExifDataView
   InsideClipboard
   NK2Edit
   pcANYWHEREHostsScanner
   ProcessActivityView
   RamCapturer
   Recuva
   SearchFilterView
   SearchMyFiles
   ShellMenuView
   SysExporter
   TeamViewer
   WhatlsHang



제한사항

C.A.IN.E의 경우에도 내장 도구 대부분이 구 버전이라는 제한사항을 가지고 있다. Wireshark의 경우 v1.6.7을 사용하고 있으며, log2timeline의 경우 v0.64를 사용하고 있어 최신 버전과 두 버전 이상 뒤쳐져있다.

또한 C.A.I.N.E에서 제공하는 도구들이 많기 때문에, 사용자가 각 도구들의 사용법을 숙지하고 있어야한다.

수사 활용 방안

CAINE v5.0 ISO에 포함된 Win-UFO는 윈도우즈 환경에서 사용 가능하며, 아이콘 클릭으로 해당 도구를 실행 할 수 있다는 장점을 가진다. 또한, 이미지 마운트만을 통해 Win-UFO의 내장 기능들을 모두 사용할 수 있으므로 별도의 Virtual Machine 설치나, OS를 설치할 필요가 없어 현장에서 간편한 GUI 환경의 수사를 진행할 수 있다.