Helix
소개[편집]
Helix는 e-fense에서 개발한 포렌식 Live CD/VM이다. 최신 업데이트는 2009년 12월 23일이며, 최신 버전은 Helix3 Pro이다. Windows, Mac OSX, Linux 운영체제 환경에서 사용 가능하다. Helix는 상용버전과 프리버전으로 나누어진다. 상용버전으로는 Helix3 Enterprise와 Helix3 Pro가, 프리버전으로는 Helix3가 있다.
Helix3 Enterprise는 통제 서버와 에이전트를 이용하여 사용자 PC에 대해 스크린 캡쳐, 키 로깅, 램 이미징, 하드디스크 이미징 등의 작업을 수행할 수 있는 솔루션이다.
Helix3는 2003년 11월 23일에 출시되어 여러 버전이 존재했지만 서드 파티 애플리케이션에 의존적이며, 시스템에 많은 흔적을 남기는 것 등의 단점이 있었다.
이와 같은 단점을 보완한 것이 Helix3 Pro로서, 크로스 플랫폼에 사용하기 쉬운 인터페이스를 제공하며 서드 파티 애플리케이션에 의존적이지 않다. Helix3 Pro는 GUI 환경에서 Acquisition & Analysis와 Cell Forensics, Other 카테고리로 분류하여, 도구를 제공한다. Helix3 Pro의 실행 화면은 [그림 1]과 같다.
![[그림 1] Helix3 Pro 실행 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Helix3_Pro_%EC%8B%A4%ED%96%89_%ED%99%94%EB%A9%B4.png)
사용법[편집]
Helix3 Pro는 별도의 로그인 과정 없이 부팅이 가능하다. Helix3 Pro는 Ubuntu 기반으로 제작되었으며 버전은 [그림 2]와 같이 Ubuntu 9.04이다.
![[그림 2] Helix3 Pro 버전 확인](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Helix3_Pro_%EB%B2%84%EC%A0%84_%ED%99%95%EC%9D%B8.png)
도구 기능[편집]
Helix3 Pro가 내장하고 있는 포렌식 도구는 아래 [표 1]과 같다.
| 구분 | 도구명 |
|---|---|
| 통합 포렌식 도구오픈소스 | Autopsy |
| 저장장치 데이터 수집 도구 | DC3DD |
| EnCase Linen | |
| Aimage | |
| Helix3 Pro | |
| Helix3 Pro Receiver | |
| 메모리 분석 도구 | volatility |
| 데이터 복구 도구 | Foremost |
| Scalpel | |
| 모바일 분석 도구 | BitPim |
| gMobileMedia | |
| Moto4Lin | |
| Wammu | |
| Xgnokii | |
| 네트워크 분석 도구 | ethtool |
| 해시 | GtkHash |
| 암호화 | TrueCrypt |
| Cryptsetup | |
| 기타 | Bless Hex Editor |
제한사항[편집]
e-fense는 2009년 12월 이후로 Helix3 Pro에 대한 업데이트를 발표하지 않고 있기 때문에 Helix가 내장하고 있는 도구 대다수는 최신 버전이 아닌 구 버전이다. 특히 모바일 분석 도구는 피처폰은 분석할 수 있지만, 스마트폰은 분석하지 못한다.
수사 활용 방안[편집]
Helix3 Pro는 설치가 필요하지 않다는 점은 수사 시에 활용도가 높다. 그러나 타 포렌식 라이브 CD/VM 도구에 비해 도구의 수가 적고, 2009년 이후 업데이트가 되지 않았기 때문에 필요한 도구가 있을 때 일일이 설치와 업데이트를 해서 사용해야 한다는 제약이 크다.
