소개[편집]

[그림 1] Mac Marshal의 실행 화면

Mac Marshal : Forensic Edition은 ATC-NY에서 개발한 Triage 소프트웨어로, 원래 Mac OS에서 실행되는 데이터, 로그 그리고 가상 머신에 접속할 수 있는 Mac OS X 운영체제를 위해 설계되었지만 Windows 운영체제에서도 실행이 가능하다. 현재 Mac Marshal : Forensic Edition v3.0이 사용되고 있으며, 가격은 Windows와 Mac에서 모두 사용가능한 버전이 $1,395(Mac : $995, PCs : $795)이다. Mac Marshal : Forensic Edition은 비활성 시스템 분석을 지원하며, 조사하는 컴퓨터에 연결된 모든 애플 기기에서 데이터를 수집할 수 있다. 구체적인 기능은 아래와 같고, 실행 화면은 [그림 1]과 같다.

∘ MAC OS X 및 듀얼-부트 디스크, 여려 형식의 파티션 이미지 분석

∘ Safari, iChat, Mail과 Address Book과 같은 애플리케이션의 로그 정보

∘ Spotlight 파일의 메타데이터를 사용한 빠른 검색

∘ 종합적인 사용정보 수집

∘ 컴퓨터에 연결된 iPod, iPhone 등의 상세 정보

∘ VMWare, VirtualBox, Parallels 등의 가상머신 탐지

∘ FileVault로 암호화된 사용자 디렉터리 탐지 및 분석

∘ dd, EnCase, FTK, AFF, and Apple Disk images 지원

∘ audit trail(감사 추적)을 유지하고, 구체적인 보고서 생성