E-mail Examiner
소개[편집]
E-mail Examiner는 Paraben Corporation사에서 개발한 도구이며, 상용이다. 최신 업데이트 일자는 2014년 7월 31일이며, 최신 버전은 8.6.5277.20254이다. 본 항에서는 최신버전인 8.6.5277.20254를 기반으로 보고서를 작성하였다.
E-mail Examiner는 이메일 클라이언트 아티팩트 Viewer이다. 지원 운영체제는 Windows 2000, XP, Vista, 7, 8이다. E-mail Examiner는 USB 동글이 있어야 실행이 가능하다. USB동글은 [그림 1]과 같다.
E-mail Examiner는 다양한 종류의 메일을 분석할 수 있다. 분석 가능한 메일로는 America On0line(AOL) databases, Microsoft Outlook(PST), The Bat! information stores(version 3.x and higher), Thunderbird, Outlook Express, Eudora databases, Email file(EML), Windows mail databases, Plain Text mail, Maildir database, Google Takeout storage(*.mbox file)가 있다. [그림 2]는 E-mail Examiner 실행한 화면이다.
사용법[편집]
.png)
.png)
E-mail Examiner에서 이메일을 분석하기 위해서는 Case를 생성해야 한다. Case는 File탭의 New Case를 선택하면 만들 수 있다. [그림 3]처럼 Case name과 Description을 작성하면, [그림 4]와 같이 분석가명, 소속, 전화번호, 주소, 팩스번호, 이메일, 코멘트를 작성하면 된다. 작성을 한 뒤, Finish 버튼을 누르면 Case가 생성된다.
Case를 생성한 뒤, Evidence 파일을 추가해야한다. Case를 새로 생성한 경우 자동적으로 Evidence를 추가할 수 있는 창이 나타난다. Case를 불러온 경우, File탭의 Add Evidence를 선택하면 [그림 5]와 같이 Evidence를 추가할 수 있는 창이 나타난다.
분석할 파일을 선택하면, 해당 파일을 분석하게 된다. 분석한 결과는 자동적으로 화면에 출력한다. [그림 6]은 분석 완료화면을 나타낸 것이다. [그림 6]에서 왼쪽 상단부분(➀번 부분)은 분석 대상 파일의 디렉터리 구조를 보여준다. 디렉터리 구조에서는 보낸 편지함, 보낼 편지함, 받은 편지함 등 사용자가 설정한 디렉터리명이 보이게 되며, 이메일에 따라 일정, 연락처, 업무 일지, 메모 등이 있을 수 있다. 왼쪽 하단부분(➁번 부분)은 선택한 메일의 설정정보를 보여주는 곳이다. 각 메일은 받는 사람, 보낸 사람, 생성 일자, 보낸 일자, 받은 일자, 수정 일자 등의 정보를 저장하게 되는데, 이러한 정보들을 출력을 해주는 곳이다. 오른쪽 상단부분(➂번 부분)은 이메일이나 스케줄, 메모 등을 보여준다. 이때 정상적인 것뿐만 아니라 삭제된 것도 출력해준다. 오른쪽 하단부분(➃번 부분)은 선택한 이메일이나 메모 등의 내용을 출력해준다. 이때 이메일을 선택한 경우, 이메일의 제목, 수신자, 발신자, 내용, 첨부파일 등을 상세히 볼 수 있다. 또한 이메일의 내용을 HTML, Text, Raw HTML로 출력할 수 있다.
그 밖에 Case History, Search, Batch Export Wizard 등의 기능을 제공하며, 상단의 메뉴 바에서 선택하여 사용할 수 있다.
도구 기능[편집]
E-mail Examiner가 지원하는 포맷은 [표 1]과 같다. 이외에도 단순 텍스트로 저장하는 것도 분석할 수 있다.
| 구분 | 지원 확장자 |
|---|---|
| AOL database | PFC |
| PST database | PST |
| The Bat database | TBB |
| Outlook Express | DBX |
| Eudora database | MBX |
| Email Fire | EML |
| Email Examiner archive | PMX |
| Maildir database | EML |
| Google Tackout storage | MBOX |
E-mail Examiner는 Search기능을 제공한다. Tools탭에서 Search를 선택하거나, 실행화면의 상단의 Search를 클릭하면 된다. Search는 Text 또는 Hex값으로 검색이 가능하다. 또한 Boolean search, Simple Search, Regular Expressions 옵션을 제공한다. Boolean search는 Bool방식의 키워드 검색을 할 수 있다. 키워드가 충족되거나 충족되지 않는 것들을 검색할 수 있다. Regular Expression은 정규식으로 키워드를 검색할 수 있으며, Simple Search는 텍스트 기반으로 키워드 검색을 할 수 있다. 또한 키워드 검색 옵션으로 검색 범위를 지정할 수 있다. 검색 범위는 디렉터리, 보낸 시간, 삭제 시간, 수신자, 발신자, 본문 등으로 지정할 수 있다. 또한 코드페이지를 지정할 수 있다. [그림 7]은 Email Examiner의 Search창을 캡처한 것이다.
Batch Export Wizard는 다른 이메일 포맷들에서 사용자가 원하는 결과 값들을 추출해주는 기능이다. 결과 값을 저장할 수 있는 포맷은 EML, EMX, MSG, MHT, PST, Attachments Only가 있다. Batch Export Wizard은 다음과 같은 절차로 실행한다.
- 분석 대상 파일 입력
- 분석 대상에서 검색할 키워드 및 옵션 설정
- 결과 파일 포맷 및 경로 설정
Export는 단일 분석 대상에서 사용자가 선택한 결과 값들을 추출해주는 기능이다. 결과 값을 저장할 수 있는 포맷은 EML, EMX, MSG, MHT, PST, Attachments Only가 있다.
Case History는 해당 Case에서 사용자가 실행한 행위들을 볼 수 있다. Case History에서 사용자가 실행한 행위들에 대해서 프로그램의 정상동작 여부를 알 수 있으며, 오동작한 것은 필터링하여 볼 수 있다. 또한 날짜 필터링을 제공하고 있어, 해당 사용자가 특정 날짜에 어떠한 분석을 실행했는지도 알 수 있다. [그림 8]은 E-mail Examiner의 Case History를 캡처한 것이다.
E-mail Examiner는 사용자의 편의를 위해 Sorting Attachments, Sorted File Search, Generate Report, Count Contents, Add Bookmark 등의 기능을 제공하고 있다. 자세한 내용은 [표 2]와 같다.
| 기능 명 | 설명 |
|---|---|
| Sorting Attachments | 첨부파일들을 정렬함 |
| Sorted File Search | 정렬된 첨부파일들에서 검색을 수행 File Name, File Types, MD5를 검색어로 지정할 수 있음 |
| Generate Report | Report를 작성 HTML, TEXT, CSV 파일 포맷으로 저장할 수 있으며, Report를 작성할 때, 이메일의 저장 옵션(본문, 수신자, 발신자, 본문내용, 생성날짜, 수정날짜 등)을 지정할 수 있음 |
| Count Contents | 디렉터리내의 저장된 내용의 개수를 셈 |
| Add Bookmark | 북마크를 지정함 |
| Hide Empty Folders | 비어있는 디렉터리를 숨김 |
제한사항[편집]
E-mail Examiner는 이메일 아티팩트를 분석하는 데 있어서 제한사항이 발견되지 않았다.
수사 활용 방안[편집]
E-mail Examiner는 이메일 아티팩트를 분석할 때, 필요한 모든 기능을 갖추고 있다. 이메일 클라이언트의 대부분을 지원하고 있으며, 삭제된 데이터도 복구가능하다. 또한, 분석결과에서 북마크, Export, Report, Batch Export Wizard, Search 기능을 사용할 수 있으며, 해당 기능을 사용하여 사용자가 필요한 결과 값을 빠르게 도출해낼 수 있다. 그리고 코드페이지 설정부분이 있어, 거의 모든 언어를 지원하고 있다. 그러므로 수사 시 이메일 아티팩트를 분석할 때, 유용하게 사용할 수 있다.
