Dual Purpose Volatile Data Collection Script

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

Dual Purpose Volatile Data Collection Script는 WetStone에서 개발한 라이브 포렌식 도구로 오픈소스로 제공되며, 마지막 업데이트는 2013년 9월 16일(v2.0)이다. Dual Purpose Volatile Data Collection Script는 CUI 인터페이스를 제공하며 Windows 환경에서 실행 가능하다. 획득 가능한 정보로는 프로세스, 네트워크, 로그온 사용자, 열린 파일, 클립보드, 시스템, 설치된 소프트웨어, 보안 정책, 자동 실행 등에 관한 정보를 수집 가능하다. Dual Purpose Volatile Data Collection Script의 실행 화면은 [그림 1]와 같다.


그림 1. Dual Purpose Volatile Data Collection Script 실행 화면









사용법

Dual Purpose Volatile Data Collection Script는 CUI 환경에서만 실행 가능하므로, Windows 명령 프롬프트에서 실행할 수 있다. tr3-collect.bat이라는 파일을 실행하는데 옵션을 사용하게 된다. tr3-collect.bat [case number] [drive명]를 입력해주면 입력해준 드라이브로 수집된 정보들을 저장한다. 사용법은 아래 [그림 2]와 같다.


그림 2. Dual Purpose Volatile Data Collection Script 사용법


수집 결과는 아래 [그림 3]과 같다.

그림 3. Dual Purpose Volatile Data Collection Script로 수집된 폴더








도구 기능

사용자가 tools 폴더에 넣은 도구에 한해서 정보를 .txt 형식으로 추출할 수 있다. Dual Purpose Volatile Data Collection Script에서 사용할 수 있는 도구들은 아래 [표 1]과 같다.

[표 1] Dual Purpose Volatile Data Collection Script에서 사용가능한 도구
구분 도구명
스크립트 작동
mkdir.exe
robocopy.exe
whoami
at.exe
schtasks.exe
driverquery.exe
네트워크 정보
arp.exe
ipconfig.exe
nbtstat.exe
net.exe
netstat.exe
pslist.exe
네트워크 정보
handle.exe
listdlls.exe
openports.exe
pslist.exe
tasklist.exe
tcpvcon.exe
로그온 정보
psloggedon.exe
logonsessions.exe
열린 파일 정보
openedfilesview.exe
psfile.exe
시스템 정보
ver.exe
uptime.exe
ipconfig.exe
promiscdetect.exe
비휘발성 시스템 정보
autorunsc.exe
gplist.exe
gpresult.exe
dd.exe
mmls.exe


제조사에서 명시해놓은 툴 다운로드 경로에서 받은 도구를 임에도 정보 추출 과정에서 2가지의 오류가 발생하여 정상적으로 작동되지 않음을 확인하였다. 오류 화면은 아래의 [그림 4], [그림 5]와 같다.


그림 4. Dual Purpose Volatile Data Collection Script 추출 시 오류1


그림 5. Dual Purpose Volatile Data Collection Script 추출 시 오류2







제한사항

수집을 위한 도구들을 외부에서 따로 받아서 tools라는 폴더에 넣어놔야 원하는 정보 수집이 가능하여 사전에 준비 작업이 필요하다.

수사 활용 방안

수사현장에서 증거로 활성데이터 또는 비활성데이터 수집용으로 활용 가능하나 .txt 또는 .csv 파일로 수집된 정보들이 저장되기 때문에 수집된 정보들에 대한 직관적이 분석이 불가능하다. 또한 프로그램의 안정성에 문제가 있어 수사 기관에서 활용하는 것은 권장하지 않는다.