MacQuisition
소개[편집]
MacQuisition은 BlackBag Technologies에서 개발한 디스크 이미징 도구이며 Mac OS X 환경에서 실행 가능하다. 상용 소프트웨어로 정부기관에게는 $1,000(약 102만원), 개인 사용자에게는 $1,200(약 122만원)에 판매하고 있다.
기본적으로 Xserve, Mac, iMac, Mac Mini, MacBook, MacBook Air 컴퓨터의 데이터를 이미징할 수 있으며, iPhone 또는 iPad 등의 모바일 기기는 불가능하다. 원본 파일의 메타데이터를 보존하며, 이미지 파일을 MD5, SHA-1, SHA-256 등의 해시 함수로 계산한다. 선택적으로 이메일, 채팅, 주소록, 캘린더 등의 개인 데이터를 볼륨별로 이미징할 수 있다. 조사 대상 드라이브에 대한 휘발성 데이터(RAM)도 수집 가능하다.
사용법[편집]
MacQuisition의 초기 실행 화면은 [그림 1]과 같다.
MacQuisition의 동글키를 삽입하면 [표 1]과 같이 4개의 파티션이 마운트 된다.
| 파티션 이름 | 내용 | 기능 |
|---|---|---|
| Application | MacQuisition 실행 프로그램 | 라이브 데이터 수집 |
| MAData | 빈 파티션 | 데이터 저장용 |
| MacQuisition 2013R1.1 | 부팅 가능한 파티션 | Mac 제품 부팅을 위한 파티션 |
| MacQuisition Legacy | 부팅 가능한 파티션 | 2013R1.1 부팅 실패를 대비한 예비 파티션 |
‘Application’ 파티션에서 MacQuisition.app을 실행하면 케이스의 정보를 입력하는 화면이 나온다. 케이스 이름, 케이스 번호, 조사자 정보 등을 입력한 후 작업에 사용할 기준 시간을 선택한다. 만약 실행 시 [그림 2]와 같은 창이 뜨면 이는 디스크 전체가 암호화되었기 때문에 수집이 완료되기 전까지는 PC를 종료하지 말라는 의미이다. ‘OK’ 버튼을 클릭하여 진행하면 된다.
‘Data Collection’ 메뉴를 클릭하면 조사 대상 시스템이 활성화(live)된 상태에서 획득할 수 있는 데이터 목록을 보여준다. 수집하기 원하는 데이터 항목을 선택하면 [그림 3]과 같이 ‘Collection Summary’ 창에서 해당 내용을 미리보기 할 수 있다. 또한 항목에 체크하고 저장경로를 선택한 후 ‘Start’ 버튼을 클릭하여 데이터를 수집한다. MacQuisition으로 수집할 수 있는 데이터 목록은 [표 2], [표 3], [표 4]와 같다.
| 분류 | 세부 분류 |
|---|---|
| Screen | Screen Capture |
| System | Profile |
| Disks | List |
| Users | Who |
| System | Data, Processes |
| Network | Interfaces, Statistics, ARP |
| Kernel | Version, Kernel Extensions, System State, Printenv, IOreg, Lautnchctl, Crontab, df, lpq, NVRam, hostname, sysctl, lsof, lpstat, sw_ver |
| Clipboard Data | ㅡ |
| 분류 | 세부 분류 |
|---|---|
| User Directories | ㅡ |
| Address Book | ㅡ |
| Airport Base Stations | ㅡ |
| Attached Media | ㅡ |
| Bash History | ㅡ |
| Calendars | ㅡ |
| Chat | Messages, iChat |
| Desktop | Desktop, Desktop Picture |
| Diskutility Log | ㅡ |
| Dock Item | ㅡ |
| Documents | Documents, TextEdit |
| Downloads | ㅡ |
| Entourage, Mail, Outlook, Downloads | |
| FaceTime | ㅡ |
| Internet | Chrome, Firefox, Safari |
| Movies | Movies, QuickTimePlayer |
| Music | ㅡ |
| Notes | Notes, Stickies |
| Pictures | Pictures, Photo Booth, Preview |
| Recent Items | ㅡ |
| Saved Application State | ㅡ |
| User Keychain | ㅡ |
| User Preferences | ㅡ |
| User Trash | ㅡ |
| iOS Backup | MobileSync |
| 분류 |
|---|
| OSX Volumes |
| AutoLogin Password |
| Deleted Users |
| Installed Software |
| Login |
| OS Install |
| OS Version |
| Print Spool |
| SleepImage |
| Software Updates |
| System Logs |
| System Trash |
| iOS Lockdown Files |
‘Image Device’를 클릭하면 조사 대상 PC의 디스크를 선택하여 이미징할 수 있다. 그러나 PC를 사용하고 있는 상태에서 해당 디스크를 이미징하는 것은 무결성을 보장할 수 없기 때문에 다른 작업 방식이 필요하다. 실제로 도구를 실행하면 PC가 활성화된 상태에서는 ‘Image Device’ 기능 사용에 제한이 있다.
전체 디스크 이미징을 위해서는 조사 대상 PC의 전원을 끄고 동글키를 이용하여 부팅하는 방식을 사용한다. 우선 동글키를 USB 포트에 꼽고 전원 버튼을 누르는 동시에 키보드에 ‘Option’키를 꾹 누르면 [그림 4]와 같이 EFI Boot 스크린, 즉 부팅 파티션을 선택하는 스타트업 매니저 창이 뜬다.
이 때, ‘MacQuisition 2013R1.1’ 파티션을 클릭하여 부팅을 진행한다. 만약 해당 파티션으로 부팅이 실패할 시 전원을 다시 끄고, ‘MacQuisition Legacy’ 파티션으로 부팅을 시도한다.
MacQuisition으로 부팅하면 조사 대상 PC의 파티션을 외부 저장 장치로 인식하기 때문에 MacQuisition 도구를 사용하여 무결성을 유지하며 이미징할 수 있다.
MacQuisition을 이용하여 정상적으로 부팅하면 [그림 5]과 같이 조사 대상 PC의 디스크 또는 외부 저장 장치를 식별하여 목록화 한다. 해당 디스크를 선택한 후 이미지 형식, 파일분할 여부, 해시 종류를 선택하고 저장경로를 설명한 뒤 하단의 ‘Image Device’ 버튼을 클릭하면 이미징 작업을 진행할 수 있다. 이 때, 저장할 수 있는 이미지 형식은 Raw, DMG, E01 등이 있다.
이미징 작업이 완료되면 [그림 6]과 같이 작업 대상 이미지 이름과 해시 값이 출력된다. 또한 이미지를 저장한 경로에는 이미징 결과가 요약된 ‘Acquisition Log.txt’ 파일과 대상 디바이스 정보 및 작업 중 발생하는 오류에 대한 내용을 담은 ’Device.log’ 파일이 함께 생성된다.
기능분석[편집]
MacQuisition의 ‘Tools’ 메뉴는 고급 기능을 제공한다. 도구가 제공하는 5가지 기능은 다음과 같다.
첫째로 ‘Mount Device’는 [그림 7]와 같이 디바이스 마운트 기능이다. 식별된 디바이스 목록 중 ‘Writable Media’ 컬럼이 True이고, ’Writable Volume’ 컬럼이 ‘Not Mounted’인 경우 해당 디바이스를 읽기 전용으로 마운트할 수 있다.
둘째로 ‘Erase Device’는 디바이스 초기화 기능이다. 디바이스를 선택한 후 볼륨이름과 형식을 설정한 후 ‘Erase Volume’ 버튼을 클릭하여 진행한다.
셋째로 ‘Terminal’은 터미널 세션을 실행하는 기능이다. ‘Launch Terminal’ 버튼을 클릭하면 ‘iTerm(OS X Terminal emulator)’이 실행되고 bash shell 프롬프트가 나타난다. 단, 루트 권한으로만 접근이 가능하며, 사용자 데이터가 수정될 수 있으니 사용시 주의해야 한다.
넷째로 ‘Hash Device’는 선택한 디바이스의 해시 값을 계산하는 기능이다. 해시 타입을 선택하고 ‘Hash Volume’ 버튼을 클릭하여 진행한다.
마지막으로 ‘Hash File’은 사용자가 불러온 이미지 파일의 해시 값을 계산하는 기능이다. 지원하는 파일형식은 .001, .dmg, .E01이며 ‘Select File(s)’ 버튼을 클릭하여 파일 선택 후 진행한다.
제한사항[편집]
MacQuisition은 Mac 환경의 디스크를 이미징하기 위한 도구로 Mac OS X 시스템에서 실행 가능하다. 가장 최신 버전인 OS X 10.10 (Yosemite)에서도 실행할 수 있다.
이미징 작업 시 이미지 저장 공간으로 도구에서 제공하는 ‘MQData’ 파티션이 존재하나 최대 저장 가능한 용량이 2GB 밖에 되지 않는다. 따라서 HFS+ 파일시스템으로 포맷된 대용량 저장장치가 반드시 필요하다.
수사 활용 방안[편집]
MacQuisition은 본 보고서의 이미징 도구 중 유일하게 OS X 환경에서 실행할 수 있는 도구이다. 따라서 조사 대상 PC가 Apple 社의 제품이라면 MacQuisition을 사용하여 어렵지 않게 이미징 작업을 진행할 수 있다. 또한 활성화 상태의 데이터를 데이터별로 직관적으로 선택하여 수집할 수 있기 때문에 상황별로 필요한 라이브 데이터만을 수집하는 것이 가능하다.
