EMule Reader

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개[편집]

eMule이란 흔히 ‘당나귀’라고 불리던 eDonkey2000의 대안으로, Windows용으로 개발된 P2P 소프트웨어이다. eMule Reader는 단일 프로그램이 아닌 eMule 관련 파일을 파싱해주는 10가지 도구를 통칭한다.(ParseCancelled, ParseCLIents, ParseKeyIndex, ParseKnown, ParseLoadIndex, ParseNodes, ParsePartMet, ParseServer, ParseSourceIndex, ParseStoredSearches)
본 도구는 프리웨어로 ‘http://www.cybermarshal.com/index.php/cyber-marshal-utilities/emule-reader’ 에서 다운로드 할 수 있었으나, 현재 홈페이지는 접속 불가 상태이다.
관련된 상용 소프트웨어로는 같은 회사에서 제작된 P2P Marshal이 있다. 이 도구는 eMule 뿐만 아니라 Ares, Bit Torrent, FrostWire, LimeWire, uTorrent, azureus(Vuze) P2P에 대한 분석을 지원한다. P2P Marshal은 Field Edition과 Forensic Edition으로 나뉘며, Field Edition은 Forensic Edition의 확장판으로써 더 많은 환경에서의 분석을 지원한다.

사용법[편집]

본 도구는 CLI 환경을 지원하며, 공통적인 옵션은 [표 1]과 같다.

[표 1] eMule Reader 공통 옵션
옵 션 설 명
-i [infile] [infile]을 파싱한다
-o [outfile] [outfile]로 파싱 결과를 출력한다
-d 출력 결과를 디버깅 한다
-h 도움말을 출력하고 종료한다
옵션 사용 예
> ParseCancelled.exe –i cancelled.met –o cancelled.txt
([도구명] [input 옵션] [파일명] [output 옵션] [파일명])


세부 도구 중 ParseKnown.exe는 파싱을 지원하는 파일의 구조가 다르기 때문에, [표 2]와 같이 추가적인 옵션이 필요하다.

[표 2] ParseKnown 추가 옵션
옵 션 설 명
-1 known.met 파싱할 경우
(입력 없을 경우 디폴트)
-2 known.met, known2_64.met 파싱할 경우


ParseStoredSearches.exe는 ‘-r’ 옵션을 추가로 사용 시, StoredSearche.met 파일로부터 추출한 검색 결과를 출력한다.

도구 기능[편집]

eMule Reader에서 제공하는 도구들은 [표 3]에 명시한 바와 같이 각 파일을 파싱하는 기능을 갖는다.


[표 3] eMule Reader 세부 기능 별 타겟 파일
세부 도구명 타겟 파일 및 설명
ParseCancelled - cancelled.met
: 다운로드 중 취소한 파일
ParseCLIents - CLIents.met
: 파일 전송을 위해 나에게 연결된 적이 있던 클라이언트
ParseKeyIndex - key_index.dat
: 파일 발신지 키워드, 파일명, 크기 등
ParseKnown - known.met
: 과거 또는 현재 다운로드한 파일 정보(이름, 크기, 파일타입, 해시값 등)

- known2.met(현재는 쓰이지 않는 파일)
- known2_64.met
: 다운로드 했거나 공유 중인 파일의 AICH 해시값
※ AICH 해시 : 받은 조각과 파일을 확인하여 검증하기 위한 해시

ParseLoadIndex - load_index.dat
: 클라이언트 ID(KeyID)와 마지막 접속 날짜 등
ParseNodes - nodes.dat
: P2P 망에 활성 중인 노드의 IP, ID 정보
ParsePartMet - .part.met files (e.g., 001.part.met)
: 아직 완전히 다운로드 되지 않은 파일을
각 part별로 9 MB씩 나눠서 temp 폴더에 저장하는데,
그 파일들의 해시 값과 파일명을 저장
ParseServer - server.met
: 서버리스트
ParseSourceIndex - src_index.dat
: 발신지 키워드 인덱스
ParseStoredSearches - StoredSearches.met
: 사용자 검색어 관련 정보


제한사항[편집]

본 도구는 P2P인 eMule의 사용흔적을 파싱하는 도구로써, eMule 관련 파일이 존재하는 경우에만 사용 가능하다.

수사 활용 방안[편집]

eMule은 당나귀, 프루나 등 P2P 공유 프로그램 중 초기 프로그램으로, 현재 국내에서는 eMule을 사용하는 사용자가 다소 적은 편이다. 현재 본 도구의 홈페이지에 접속할 수도 없는 상태이기 때문에 활용 가능 여부는 아직 확신할 수 없다. 만약 다운로드가 가능해진다면, 본 도구는 ‘아동 · 청소년의 성보호에 관한 법률’이나 저작권과 관련된 수사에 활용할 수 있다.

원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=EMule_Reader&oldid=7702"