CDLFS
소개[편집]
CLDFS(Command line Live Data Forensics)는 고려대학교 디지털 포렌식 연구 센터에서 개발한 라이브 포렌식 도구이며, Windows 환경에서 실행 가능하다. CLDFS은 고려대학교 디지털 포렌식 연구 센터 홈페이지(http://forensic.korea.ac.kr)에서 무료로 다운받아 사용 가능하며 2014년 10월 10일에 마지막 업데이트가 되었으며 윈도우 XP, Vista, 7 32bit 환경에서 사용 가능하다.
사용법[편집]
CLDFS는 CLI 기반에서 동작하며 간단한 옵션을 통해 데이터를 수집할 수 있다. MFT, Prefetch, Registry, Driver 정보, LnkFile, Evtlog를 수집할지 옵션을 설정해 주고 결과를 출력받을 경로를 선택해주면 선택한 경로로 csv 파일이 출력된다. 아래 [그림 1]은 모든 파일을 추출하도록 옵션을 “mpret”으로 주고 데이터를 추출하는 화면이다.
데이터 수집이 완료되면 설정한 경로에 CLDFS 폴더가 생성되고 CLDFS 폴더 아래에 csv파일과 evidence 폴더 아래에 옵션으로 설정한 파일들이 추출된다. 추출된 파일과 폴더는 아래 [그림 2] [그림 3]와 같다.
추출된 csv 파일은 가독성이 떨어지므로 CLDFS_viewer를 통해 가독성 좋게 GUI 환경에서 결과를 확인할 수 있다. 아래 [그림 4]은 CLDFS_Viewer를 통해 csv 파일을 불러오는 화면이다.
CLDFS_Viewer는 크게 7가지 대분류로 나눠지며 시스템 정보, 네트워크 정보, 프로세스 및 모듈, 서비스 목록, S/W 목록, H/W 목록, Logs를 확인할 수 있다. 아래 [그림 5]는 CLDFS_Viewer로 결과 파일을 불러온 화면이다. 필요한 정보만 가독성 좋게 표시해준다.
도구 기능[편집]
CLDFS에서 추출 가능한 정보는 아래 [표 1]와 같다.
| 구분 | 도구명 |
|---|---|
| 기본 정보 | |
| 케이스 정보 | |
| 추출 로그 | |
| 시스템 정보 | |
| OS 정보 | |
| HDD 정보 | |
| 파티션 정보 | |
| IP 정보 | |
| 사용자 계정 정보 | |
| 모든 사용자 | |
| 로그온 된 사용자 | |
| 프로세스 정보 | |
| 실행중인 프로세스 | |
| 시스템에 로드된 DLL | |
| 네트워크 정보 | |
| 네트워크 인터페이스(NIC) | |
| 라우팅 테이블 | |
| ARP 테이블 | |
| TCP/IP 포트 | |
| 같은 도메인 내의 지역 시스템 (NET VIEW) | |
| 공유 리소스 정보(NET SHARE) | |
| 원격 유저 정보 | |
| 원격 리소스(NET USE) |
제한사항[편집]
윈도우7 64bit, 윈도우8에서 프로세스 정보를 정상적으로 가져오지 못할 수 있다. 또한 출력된 csv 형식의 레포트를 뷰어를 통해 분석해야 하는데 .Net Framework가 설치되지 않은 PC라면 사용 시 정상적인 동작이 되지 않는다. 아래 [그림 6]은 .Net Framework 문제로 CLDFS_Viewer가 정상 동작하지 않는 화면이다.
수사 활용 방안[편집]
CLDFS는 기존에 DFRC(Digital Forensic Research Center)에서 제작한 LDFS의 CLI 버전이다. 메모리의 변조를 최소화하기 위해 GUI를 제거하였고 활성 데이터와 추가적인 분석 데이터들을 추출해준다. 또한 csv로 레포트를 생성해주며 전용 뷰어를 통해 높은 가독성을 지원한다. 윈도우7 64bit와 윈도우8에 대한 패치를 진행중이며 추가적인 기능 또한 지원할 예정이므로 활성 데이터 수집에 유용한 도구이다.
