DocScrubber

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개[편집]

DocScrubber는 Java-Cool Software에서 무료로 제공하는 유틸리티이다. 최신 버전은 1.2이고, 본 항에서는 최신버전인 1.2를 기반으로 보고서를 작성하였다.
DocScrubber는 Windows에서 동작하는 유틸리티로 Windows 98, ME, NT, 2000, XP, Vista, 7, 8에서 모두 동작한다. 그리고 문서 파일 중에서는 Microsoft Word 문서만을 대상으로 분석과 조작을 할 수 있다. 이때 Word 문서는 확장자가 doc (97 ~ 2003버전에서 생성된 문서)인 경우에만 분석과 조작이 가능하고, docx (2007버전 이상에서 생성된 문서)인 경우는 불가능하다.

사용법[편집]

[그림 1] DocScrubber를 실행한 화면

DocScrubber을 처음 실행 했을 때의 화면은 [그림 1]와 같다.

사용자는 doc 문서에 대해 총 2가지의 기능을 이용 할 수 있다. 첫 번째의 기능은 Analyze기능이고, 두 번째는 Scrub의 기능이다. 첫 번째 Analyze의 기능은 문서에 대한 정보를 분석하는 기능이고, 두 번째 Scrub의 기능은 문서에 대한 정보를 삭제하거나 조작하는 기능이다.

도구 기능[편집]

[그림 2] 분석할 Word문서를 선택해야하는 화면

첫 번째 Analyze의 기능을 이용하려면 실행의 첫 화면에서 Analyze 버튼을 클릭하면 된다. Analyze 버튼을 클릭하면 [그림 2]와 같이 분석하고자 하는 Word 문서를 선택하는 창이 보인다.
분석할 Word 문서를 선택하면 [그림 3]와 [그림 4]와 같이 Author, Company, Keywords, Subject, Comments, Template Used, Application, Created, Last Saved, Last Edited By, Last Printed, Page Count, Word Count, Character Count, Revision Count, Total Editing Time (minutes), Unique Identifier (GUID), Recent Hyperlinks List, Revision Log에 대한 정보를 알 수 있다.

[그림 3] 선택한 Word 문서에 대한 분석 결과 첫 번째 화면
[그림 4] 선택한 Word 문서에 대한 분석 결과 두 번째 화면

결과 화면에 보이는 분석된 정보들을 텍스트 파일로 인출을 원한다면 [그림 4]에서 Save Log to File을 클릭하면 된다. 이것을 클릭하면 사용자가 지정한 디렉터리에 분석된 정보가 담겨 있는 텍스트 파일이 생성된다. 텍스트 파일 안의 내용은 [그림 5]와 같다.

[그림 5] Save Log to File의 내용

두 번째 Scrub의 기능을 이용하려면 실행의 첫 화면에서 Scrub 버튼을 클릭하면 된다. Scrub 버튼을 클릭하면 [그림 6]와 같이 몇 가지 옵션 중 선택해야하는 창이 보인다. 그리고 [표 1]와 같이 옵션 사항을 선택할 수 있다.

[표 1] Word문서에 대해 Scrub할 선택 옵션
선택 옵션 설명
Scrub a single Word document 1개의 Word 문서 파일에 대해서 Scrub을 할 것인지를 선택
Scrub all Word documents in a specific folder 폴더를 선택하여 해당 폴더에 저장되어 있는 모든 Word문서들에 대해 일률적으로 Scrub을 할 것인지를 선택
Scrub selected Word documents in a specific folder 하나의 폴더 내에 저장되어 있는 몇 개의 Word문서들만 선택하여 Scrub을 할지 선택
Save scrubbed file over original 원본 Word문서를 Scrub할지, 아니면 원본 Word 문서는 그대로 두고 Scrub한 문서를 새로 생성할지를 선택
[그림 6] 옵션 사항을 선택하는 화면

옵션 사항을 선택하고, Scrub할 Word문서 또는 폴더를 선택하면 [그림 7]와 같이 문서에 대해 Scrub할 항목들을 선택하거나 입력을 할 수 있는 창이 보이게 된다.

[그림 7] Scrub할 항목에 대해 선택 또는 입력하는 화면

Scrub할 항목들을 선택하거나 입력을 하면 Word문서가 Scrub가 된다. 그런데 Scrub한 문서를 DocScrubber에 입력해서 보면 날짜에 대한 정보가 [그림 8]와 같이 삭제된 것으로 보이지만, 실제 Word 문서의 마우스 오른쪽 버튼을 클릭해서 속성 값의 정보를 보면 [그림 9]와 같이 확인해보면 속성에 보이는 시간 정보는 그대로 보인다.

[그림 8] Scrub한 문서를 입력한 화면
[그림 9] Scrub한 문서의 속성

파일의 Hex를 확인해본 결과 Scrub된 문서의 구조에서는 날짜와 관련된 헥사값은 0으로 바꿔져 있었다. 하지만 문서에 마우스 오른쪽 버튼을 클릭해서 보이는 속성값에 날짜 정보가 그대로 존재한 이유는 DocScrubber는 파일의 MAC 타임까지는 바꾸지 않기 때문이었다.

제한사항[편집]

Microsoft Word의 최신 버전에서 지원하는 docx문서에 대해서는 지원을 하지 않는 점이 있다. 현재는 doc문서 보다는 docx문서 사용량이 많은데, docx문서에 대해서는 지원을 하고 있지 않다. Scrub 이용에 대해서는 검토해봐야 할 문제가 있다.

수사 활용 방안[편집]

유틸리티를 이용하여 doc문서에 대한 시간정보나 사용자 등에 대한 정보들을 간단하고 빠르게 파악을 할 수 있다.

원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=DocScrubber&oldid=7677"