FTK (Forensic Tool Kit)
목차
- 1 소개
- 2 사용법
- 3 도구 기능
- 3.1 지원 운영체제 및 사양
- 3.2 케이스 생성
- 3.3 Evidence Processing 설정
- 3.4 Evidence Refinement 설정
- 3.5 Index Refinement
- 3.6 Manage Evidence
- 3.7 Explore 탭
- 3.8 Overview 탭
- 3.9 Email 탭
- 3.10 Graphics 탭
- 3.11 Video 탭
- 3.12 Internet/Chat 탭
- 3.13 Bookmarks 탭
- 3.14 Live Search 탭
- 3.15 Volatile 탭
- 3.16 암호화된 파일 및 볼륨 복호화 기능
- 3.17 보고서 출력 기능
- 3.18 원격 조사 기능
- 4 제한 사항
- 5 수사 활용방안
소개[편집]
FTK는 AccessData 社에서 만든 통합 포렌식 도구이며 Windows 환경에서 실행 가능하다. 상용 소프트웨어로 공식홈페이지 구매 기준 $5,114(약 529만원)에 구입 가능하다. 지원하는 대표적인 기능은 아래와 같다.
- UNIQUE FTK® ARCHITECTURE PROVIDES UNMATCHED STABILITY
- UNMATCHED PROCESSING
- LOG2TIMELINE CSV SUPPORT
- BROAD FILE SYSTEM, FILE TYPE AND EMAIL SUPPORT
- BROAD ENCRYPTION SUPPORT
- DATA VISUALIZATION FOR AUTOMATED TIMELINE CONSTRUCTION AND SOCIAL ANALYSIS
- FASTER, MORE COMPREHENSIVE INDEX AND BINARY SEARCHING
- SINGLEoNODE ENTERPRISE
- ADVANCED VOLATILE / MEMORY ANALYSIS
- MICROSOFT® PHOTODNA® INTEGRATION
- INTERNET AND CHAT ANALYSIS
- EXCEPTIONAL APPLE® OS ANALYSIS
- AUTOMATED LANGUAGE IDENTIFICATION
- ADVANCED GALLERY VIEW FOR IMAGES AND VIDEO WITH EXPLICIT IMAGE DETECTION
- RICH REPORTING
사용법[편집]
FTK 실행 후 Cases 탭에서 우클릭하여 “New Case”를 선택한다. 이후 [그림 2] 와 같이 케이스 생성 정보를 입력한다.
케이스 생성 후 “Evidence Processing” 화면에서 수행할 작업을 설정한다. [그림 3]과 같이 데이터 파일 카빙이나 메타데이터 파일 카빙 설정 등이 가능하다.
“Evidence Processing” 단계에서 증거파일 분석 설정 이후 [그림 4]과 같이 증거 파일을 추가할 수 있다. 추가할 수 있는 파일은 Image 파일이나 개별 파일, 물리 드라이브나 논리 드라이브를 추가할 수 있으며 분석할 증거의 Time zone과 해석할 언어형식을 설정할 수 있다.
증거 파일 추가 이후 증거 탐색트리 화면과 파일 정보 화면이 출력된다. 상단의 탭은 도구에서 지원하는 기능들의 상세 정보를 출력하고 탭의 내용은 아래와 같다.
- Explore
- Overview
- Graphics
- Video
- Internet/Chat
- Bookmarks
- Live Search
- Index Search
- Volatile
FTK는 휘발성 메모리 분석을 지원하며 Volatile 탭에서 확인가능 하다. 분석 시에는 “Import Memory Dump”를 실행하여 메모리 덤프 파일을 불러오고 이를 해석한다. 결과는 [그림 5]와 같다.
도구 기능[편집]
지원 운영체제 및 사양[편집]
FTK는 Windows 환경에서 동작하며 구동되는 환경은 Server 와 Desktop으로 구분 된다. 데이터베이스를 사용하여 분석 데이터를 관리하는 것이 특징이며 Postgre라는 데이터베이스를 사용한다. 또는 사용자 운영체제에서 MS SQL 지원 시 Postgre 데이터베이스를 대체하여 사용할 수 있다. 지원 운영체제 및 하드웨어 요구 사항은 [표 1]과 같다.
| 시스템 요구 사양 | |
|---|---|
| CPU | Intel i7 Dual Quad Core Xeon AMD equivalent |
| RAM | 8GB (or more) |
| Disk | 운영체제 드라이브 : SATA 7200 RPM 성능의 하드디스크 |
| Database 드라이브 : 160 GB 이상의 SSD | |
| RAID 드라이브 : RAID 0 제외, RAID 5·6·10 사용 | |
| Network Card | Gigabit를 지원하는 네트워크 카드 |
| OS | Windows 7 (64-bit) Windows Server 2008 R2 |
케이스 생성[편집]
FTK에서 새로운 케이스 생성방법은 프로그램 실행 후 나타나는 화면에서 Cases 탭을 우클릭 하거나 File 탭 선택 시 출력되는 메뉴에서 “New Case”를 선택하여 케이스를 생성한다. 새로운 케이스 생성 시 설정은 [그림 6]과 같이 설정한다.
케이스 생성 시 케이스 명, 케이스 설명을 추가할 수 있으며, 케이스가 저장될 디렉터리와 데이터베이스파일을 저장할 디렉터리를 설정할 수 있다. 또한 증거 파일을 분석할 방법도 설정가능하다. ‘AD Standard’ 프로필이 기본으로 적용되며 사용자가 임의로 프로필을 설정할 수 있다. 이 프로필은 ‘Evidence Processing’ 설정 창에서 추후 수정가능하다.
Evidence Processing 설정[편집]
“Evidence Processing”은 증거파일 분석 시 ‘Detailed Options’ 설정화면 내에서 설정한다. 수행 가능한 작업으로는 확장자 검사, 섬네일 이미지 생성, HTML 파일 목록화, 데이터 복구, 언어 형식 탐지와 같은 기능을 설정할 수 있다. 이후 사용자가 원하는 작업을 [그림 7]와 같이 선택 하여 수행할 수 있다.
“Evidence Processing” 설정 탭에서 ‘Data Carve’ 설정을 체크 한 경우 데이터 카빙을 수행한다. 데이터 카빙은 FTK에서 정의한 데이터 타입에 의해 카빙 되며 그림파일이나 문서파일, 인터넷 기록 및 메일 정보 등을 카빙한다. 카빙할 파일 형식 설정은 [그림 8]와 같이 Carving Options를 통해 원하는 파일 설정을 선택하여 수행한다.
Evidence Refinement 설정[편집]
“Evidence Refinement”는 ‘Detailed Options’ 설정화면에서 해당 탭을 선택하여 설정한다. “Evidence Refinement” 탭에서는 파일의 상태나 파일 형식에 따라 분류하는 기능을 지원하고, 날짜별로 조건을 선택하거나 파일 크기를 설정하여 데이터를 선별하는 기능을 지원한다. 설정 중에는 [그림 9]에서 증거 파일의 Slack 공간을 포함하여 선별 후 출력하거나 파일 형식을 설정하여 선별하는 설정이 있다.
또한 다음 그림인 [그림 10]과 유사하게 증거 파일의 MAC시간을 원하는 날짜로 선택하여 선별할 수 있으며 날짜와 파일의 크기를 지정하여 데이터를 선별 할 수 있다.
Index Refinement[편집]
FTK에서 Evidence Processing에 의해 분석된 데이터는 FTK 내에서 설정한 데이터베이스에 인덱싱 된다. 이후 인덱싱된 데이터를 사용자가 설정한 조건으로 선별하는 기능을 지원한다. 해당 기능은 ‘Detailed Options’ 설정화면의 “Index Refinement” 탭에서 설정 가능하다.
[그림 11]과 같이 “Index Refinement” 탭에서 인덱싱된 데이터를 Slack 공간을 포함하여 선별 후 출력하거나 파일 형식을 설정하여 선별할 때 빠른 검색 및 데이터 선별이 가능하다.
[그림 12]과 같이 인덱싱된 데이터의 MAC시간을 원하는 날짜로 선택하여 선별하거나 날짜와 파일의 크기를 지정하여 선별 할 수 있다.
Manage Evidence[편집]
FTK는 “Manage Evidence” 설정화면에서 증거 파일을 추가할 수 있다. [그림 15]과 같이 증거파일로 추가 가능한 형식은 이미징 파일이나, 디렉터리 내 파일, 일반 파일, 물리 드라이브 및 논리 드라이브를 추가할 수 있다. 증거파일 추가 후 “Detailed Options” 설정 화면에서 사용자가 설정한 방식에 의해 데이터를 분석하고 선별 수집한다.
증거 파일 추가 이후 “TimeZone” 설정을 통해 증거 파일의 시간정보를 사용자가 설정한 기준 시로 해석할 수 있다. 또한 “Language Setting”을 통해 사용자가 설정한 언어로 증거 파일 내 데이터를 해석한다.
Explore 탭[편집]
증거 파일 추가 후 분석된 결과는 Explore 탭에 출력된다. 탐색기와 같은 구조를 가지며 Hex값이나 Text 값을 확인할 수 있으며 파일 추출이 가능하다. [그림 14]과 같이 화면에 값을 출력 하며 각 탭별로 오름차순이나 내림차순으로 정렬 가능하다.
[그림 14]의 ‘(1)’번 탭은 ‘Evidence Items‘ 탭으로 ”Manage Evidence“ 에서 추가한 증거 파일을 해석 후 트리 형태로 출력한다. ‘(2)’번 탭은 “File Content“ 탭으로 ‘(3)’번 탭에서 선택한 데이터의 Hex 값이나 Text 값 등을 출력한다. ‘(3)’번 탭은 “File List“탭으로써 사용자가 추가한 증거 파일에서 해석된 데이터들을 열거한다. 탭 내의 컬럼들은 파일이름, 경로정보, 확장자 정보, 물리 크기, 논리 크기, 해시 정보, MAC 타임 정보와 같은 메타데이터 정보를 출력하며 이를 오름차순이나 내림차순으로 정렬 가능하다.
Overview 탭[편집]
Overview 탭은 Evidence Processing의 결과나 사용자가 임의로 설정하여 선별된 정보들이 출력 되는 탭으로써 파일 확장자나 파일 종류, 북마크, 이메일 정보 등을 분류하여 출력한다. [그림 15]와 같이 파일 “Explore” 탭과 마찬가지로 File Content 탭, File List 탭을 가지며 특징적으로 “Case Overview” 탭이 존재한다. “Case Overview” 탭을 통해 파일 분류를 통한 분석을 효율적으로 수행할 수 있다.
Email 탭[편집]
Email 탭은 증거 파일 내 이메일 정보를 추출하여 출력하는 탭이다. 이메일 정보를 해석하고 날짜나 주소, 메일 열람 여부에 따라 분류하며 Explore 탭과 마찬가지로 File Content탭, File List 탭이 존재한다. File List탭은 [그림 16]과 같이 컬럼 정보에 차이가 있으며 메일 제목, 수신자, 송신자, 읽음 여부 등에 따라 분류하여 이를 내림차순이나 오름차순으로 정렬할 수 있다.
Graphics 탭[편집]
Graphics 탭은 [그림 17]와 같이 증거 파일 내 이미지파일만을 선별하여 출력하는 탭으로써 Explore 탭과 유사하다. 이미지 미리 보기 기능을 지원하며 정렬기능이나 Hex 뷰와 같은 대부분의 기능은 Explore 탭과 동일하다.
Video 탭[편집]
Video 탭은 비디오 파일만을 선별하여 출력하는 탭으로써 동영상 재생 기능을 제공하며 Evidence Processing에 의해 발견된 비디오 파일이 있다면 Video 탭으로 출력시키고 비디오 파일 분석이 가능하다.
Internet/Chat 탭[편집]
Internet/Chat 탭은 인터넷이나 메시지 송·수신 데이터를 검색하여 출력한다. 또한 Evidence Processing 의 결과로 HTML 파일 카빙이나 데이터 형식 분류를 설정하였을 경우 결과를 확인할 수 있는 탭이다.
Bookmarks 탭[편집]
Bookmarks 탭은 사용자가 정의한 북마크의 상태를 확인할 수 있다. 이 탭을 통해 추후 보고서 작성 시 북마크를 해제하거나 설정할 수 있으며 북마킹된 증거 파일들은 보고서 상에서 첨부되어 출력된다.
Live Search 탭[편집]
Live Search 탭은 사용자가 추가한 증거파일 내에서 원하는 내용을 찾아 결과를 출력하는 탭이다. 코드페이지 설정으로 언어에 맞게 검색할 수 있으며 Hex 값이나 Pattern을 정의하여 검색 가능하다.
Volatile 탭[편집]
Volatile 탭은 네트워크상의 조사대상 시스템 메모리 덤프에 대해 프로세스 조사를 수행하거나 사용자가 직접 추가한 메모리 덤프파일에 대해 파일을 분석하여 Detailed List에 결과를 출력한다.
메모리 덤프파일의 추가는 “Import Memory Dump File” 기능을 통해 추가할 수 있으며 네트워크상의 Agent를 선택하여 경로를 지정하거나 로컬상의 경로를 지정하여 분석 가능하다.
암호화된 파일 및 볼륨 복호화 기능[편집]
FTK는 암호화된 볼륨이나 암호화 파일에 대하여 복호화 기능을 지원한다. 사전대입 공격을 기반으로 공격 가능하며 패스워드 사전을 설정 창에 입력하여 복호화를 수행할 수 있다. 지원 가능한 파일 형식은 EFS, Lotus Notes(whole NSF), Lotus Notes(notes/emails), S/MIME PKCS7과 같은 형식의 파일을 지원한다.
보고서 출력 기능[편집]
FTK는 보고서 출력 기능을 지원한다. 조사관의 정보를 입력할 수 있으며 분석 시 표시한 북마크와 필요한 증거 파일을 보고서 출력 데이터로 설정한다.
보고서 출력 시 시간 정보나 파일 출력 정보를 설정할 수 있다. 지원하는 출력 포맷은 PDF, HTML, XML, RTF, WML, DOCX, ODT 형식으로 출력 가능하다.
원격 조사 기능[편집]
원격지 상의 Agent를 추가하여 네트워크상의 조사 대상 시스템을 분석 할 수 있다. 최초 케이스 생성 시 해당 케이스에 대한 Agent를 설정하게 되는데 [그림 27]와 같이 기존 Agent 에 추가형태로 설정하거나 임시 Agent를 생성하여 조사할 수 있다.
제한 사항[편집]
Forensic Toolkit 은 Windows 환경에서 구동되며 Quad-core 이상, Xeon 급의 프로세서와 32GB이상의 RAM을 권장사양으로 한다. 따라서 워크스테이션 급의 분석PC가 필요하다. 운영체제 지원은 Windows Server 2008 R2 Standard, Windows 7 64비트 환경을 지원한다.
수사 활용방안[편집]
통합 포렌식 도구로써 운영체제 설치 드라이브 및 설치 이미지, 이동식 저장 매체, 물리메모리, 암호화 볼륨까지 다양한 분석을 지원하는 도구이며 수집한 아티팩트를 관리 데이터베이스에 저장하여 데이터를 정제 및 선별하기 때문에 타 도구에 비해 특징적인 부분이다. 또한 기능 설명으로 붙여진 탭 인터페이스를 사용하기 때문에 도구 사용법 숙련 시 다른 도구에 비해 보다 편하게 익힐 수 있을 것이다. 그러나 도구의 설치 시 데이터베이스 설치와 같은 의존성 문제가 존재하기 때문에 사전에 분석환경을 갖추고 수사에 활용하여야 할 것이다.
