PALADIN은 SAMURI에서 개발한 포렌식 Live CD/VM이며, Live CD ISO 파일 형태로 제공된다. PALADIN은 프리웨어로 제공되며, 최신 업데이트는 2013년 2월 9일이며, 최신 버전은 5.0이다. 본 위키에서는 최신버전인 5.0버전을 사용하였다.

소개[편집]

PALADIN에서 제공하는 포렌식 도구들의 카테고리는 통합 포렌식, 저장 장치 데이터 수집, 데이터 복구, 네트워크, OS 아티팩트, 웹 브라우저 분석 도구, 이메일 분석 도구, 안티바이러스, 타임라인 분석 도구, 모바일 분석 도구, 해시, 스테가노그라피 등이다. PALADIN에서 제공하는 도구 중 일반적으로 자주 사용되는 도구들은 Wireshark, outguess, SQLite Database Browser, Truecrypt 등이 있다.

PALADIN의 실행 화면은 [그림 1]과 같다.

사용법[편집]

PALADIN은 별도의 로그인 과정 없이 부팅이 가능하다. PALADIN 역시 Ubuntu 12.04 LTS를 기반으로 만들어져 있으며, 이는 [표 1]의 명령어로 확인할 수 있다.

[표 1]의 명령어 실행 결과는 [그림 2]와 같다.

이에 따라 Ubuntu 12.04 LTS의 인터페이스와 명령어를 PALADIN에서도 그대로 사용 가능하다. PALADIN는 통합 포렌식 도구, 저장장치 데이터 수집 도구, 데이터 복구 도구, 네트워크 분석 도구, OS 아티팩트 분석 도구, 웹브라우저 분석 도구, 이메일 분석 도구, 안티바이러스 도구, 타임라인 분석 도구, 모바일 분석 도구, 해시, 스테가노그라피 등의 다양한 도구를 제공하고 있다. 이 도구들로 포렌식 수사의 상황에 맞게 각 도구를 사용하면 된다.

도구 기능[편집]

PALADIN이 내장하고 있는 포렌식 도구는 아래 [표 2]와 같다.

제한사항[편집]

PALADIN의 경우 대부분의 도구들이 최신 버전이 아닌 구 버전이다. log2timeline의 경우 v0.64로 최신 버전인 v0.66보다 두 버전 떨어져 있고, Wireshark의 경우 v1.6.7로 Wireshark 공식 홈페이지에 소개된 구 버전인 v1.8.15에 비해서도 매우 낮은 버전을 가지고 있다.

또한 PALADIN에서 제공하는 도구들이 많기 때문에, 사용자가 각 도구들의 사용법을 숙지하고 있어야한다.

수사 활용 방안[편집]

PALADIN을 실제 현장에서 사용하기 위해서는 새로운 버전의 PALADIN이 개발되지 않는 이상, 모든 도구를 수동으로 패치하여 사용해야 한다. 앞서 소개한 SIFT에 비하면 OS 버전은 동일하며 도구의 버전과 도구의 종류에서 PALADIN이 모두 뒤쳐져 있다.