SAFE Windows boot disk

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

SAFE(System Acquisition Forensic Environment) Windows boot disk는 그 어떤 인텔 기반의 컴퓨터든 Microsoft Windows 환경으로 부팅을 도우는 도구이다. 이 도구를 이용하여 모든 RAID, SAS, 광섬유채널이나 랩탑 하드 드라이브 등을 특별한 어댑터나 컨트롤러 카드 없이 안전하고 쉽게 탐지하여 이미징할 수 있다. 또한, BitLocker로 보호된 드라이브도 패스워드를 알면 접근 및 분석할 수 있도록 해준다. GUI와 CLI를 둘 다 지원하며, 사용자에 따라 편리하게 이용할 수 있다.
본 도구는 ‘http://www.forensicsoft.com/’ 에서 정보를 확인할 수 있으며, 상용 버전과 트라이얼 버전이 있다. 상용 버전은 컨설턴트 에디션, 엔터프라이즈 에디션 두 버전으로 나뉘며, 둘 다 동글키를 접촉해야 활성화된다. 컨설턴트 에디션은 시스템이 실행되는 동안 항상 동글키를 USB 포트에 연결해야한다. 만약 동글키를 제거한다면 60초 이내에 다시 접촉하지 않을 경우 종료된다. 엔터프라이즈 에디션은 일단 시작하여 동글키를 접촉하면 언제든지 제거할 수 있고, 한 개의 동글로 한 번에 여러 개의 작업을 할 수 있다는 장점이 있다. 동글키가 없는 경우에는 트라이얼 버전으로 시작된다. 트라이얼 버전은 부팅 15분 후 자동적으로 종료되며, 종료 전 로그를 저장할 수 있는 옵션이 주어진다. 또한, 모든 네트워크 기능을 사용할 수 없으며, 1GB 이하의 드라이브에 쓰기 작업을 할 수 있다.

사용법

[그림 1] 네트워크 어댑터 활성화 선택

SAFE 부팅 CD 또는 USB와 동글키 USB를 접촉 시켜 부팅한다. 시스템이 시작되면 프롬프트가 세션을 위해 네트워크를 사용하도록 할 것인지 물으며, 기본적으로는 네트워크 어댑터가 비활성화인 상태로 시작된다.







[그림 2] 사건 정보 입력 화면

[그림 2]과 같이 Case Information 창이 나타나면 사건의 정보를 입력한다. 그럼 해당 사건의 로그는 초기화되고, 시스템에서 탐지된 모든 장치에 대해 로그를 기록하기 시작한다.









[그림 3] 스크린 해상도 선택 화면

그 후 [그림 3]와 같이 시스템 해상도를 묻는 메시지가 나타난다. 이 해상도는 추후에도 SAFE Explorer에서 ‘Tools > Set Resolution’ 옵션을 이용하여 변경할 수 있다.











[그림 4] SAFE 부팅 완료된 메인 화면

[그림 4]는 SAFE가 부팅 완료된 화면이며, 트라이얼 버전의 경우에는 우측 하단에 종료까지 남은 시간 정보가 표시된다.










[그림 5] SAFE Explorer(SAFE 탐색기)

메인 화면 좌측의 SAFE Explorer(탐색기) 메뉴는 본 도구에서 가장 중요한 애플리케이션이다.
본 도구가 장착된 시스템이 시작되면, SAFE OS를 위한 X 드라이브를 가상으로 생성한다. 이는 [그림 5]에서도 확인할 수 있다.








[그림 6] SAFE Explorer에서의 검색 화면

‘File > New > File’과 ‘File > New > Folder’는 해당 위치에 새로운 파일과 폴더를 생성한다. 파일 생성 시 기본으로 .txt 파일이 생성된다.
‘Edit > Move to’, ‘Edit > Copy to’, ‘Edit > Delete’, ‘Edit > Search’는 파일 및 폴더의 복사, 이동, 삭제, 검색 기능이며, 파일 및 폴더 아이콘에 오른쪽 클릭 시 이름을 수정할 수 있다. [그림 6]은 검색 옵션 화면이다. 검색할 폴더와, 파일명, 시간정보를 입력하여 상세한 검색을 할 수 있다.









[그림 7] IDE 디스크에서의 HPA/DCO 메뉴 화면

‘Tools > Refresh Disks’는 새로고침, ‘Tools > Write Blcok’은 [그림 5]의 좌측에 자물쇠 아이콘으로 표시된 디스크의 쓰기 보호 상태를 해제한다. 이때 트라이얼 버전일 경우 해당 디스크가 1GB 이상이라면 ‘Only disks under 1GB in size can be unblocked in trial mode’라는 경고가 나타난다.
‘Tools > HPA/DCO’는 HPA(Host Protected Area)나 DCO(Device Configuration Overlay)에 의해 숨겨진 데이터를 수집하고 분석할 수 있도록 한다. 원하는 IDE 물리디스크를 선택하고, 이 기능을 선택하면 [그림 7]과 같이 HPA와 DCO의 존재 여부 및 크기를 빨간색으로 보여준다.
막대 아래의 슬라이더를 우측 빨간색 부분까지 이동시켜 ‘Apply’ 버튼을 누르면, 일시적으로 숨겨진 디스크 영역을 열 수 있다. ‘refresh’ 후, 그 디스크는 재탐지되고, 전체 용량의 IDE 디스크를 볼 수 있다. 이전에는 숨겨졌던 영역까지 증거를 획득하고, 검색 및 분석할 수 있게 되는 것이다. 작업을 완료하였으면, 다시 ‘Tools > HPA/DCO’에서 슬라이더를 원래대로 위치시킨다.



[그림 8] 해시 선택 옵션(MD5/SHA-1)
[그림 9] SHA-1 해시 계산 결과

‘Tools > Hash’는 탐색기에서 선택한 파일이나 물리적 디스크에 대해 MD5 또는 SHA1으로 해시 값을 보여준다.















[그림 10] SAFE의 View Log(SafeNotes) 화면

‘Tools > View Log’는 본 도구에서 실행한 행위에 대한 기록을 보여준다. 본 도구에서의 로그는 .xml 파일로 기록되며, [그림 10]과 같이 작업 유형, 시간, 작업 내용, 위치 등의 정보를 확인할 수 있다.









[그림 11] SAFE의 ADD Driver 화면

‘File’ 메뉴에는 불러오기, 다른 이름으로 저장, 새 파일, 종료 기능이 있다. ‘Edit’ 메뉴에는 실행취소, 복사, 오려두기, 붙여넣기, 모두선택, 찾기, 코멘트 삽입 기능이 있다. ‘View’ 메뉴에서는 아이콘 툴바, 상태 바를 활성화 할 것인지, HTML 형태로 변환하여 볼 것인지를 설정할 수 있다.
시스템에 장착된 대부분의 장치는 자동으로 인식되고 설치된다. SAFE에 인식되지 않은 장치들은 ‘Tools > Add Driver’에서 원하는 장치의 .inf 파일을 불러와 추가할 수 있다.



[그림 12] SAFE의 Command Line(cmd.exe) 화면

‘Tools > Set Resolution’은 위에서 언급한 바와 같이 해상도를 조절할 수 있다. 지금까지 기술한 SAFE Explorer 메뉴들 중 Notepad, Add Driver, View Log는 SAFE 메인 화면의 좌측에서 빠르게 실행할 수 있다.
메인 화면 좌측의 Command Line은 일반적인 윈도우 명령어를 지원한다.





[그림 13] BitLocker로 인해 탐색할 수 없는 D 드라이브(예시)

Windows 기반의 드라이브 암호화 기능인 BitLocker로 인해 암호화된 디스크의 내용을 확인하기 위해선 다음의 절차가 필요하다. 예시로 [그림 13]에서 BitLocker로 암호화된 상태인 D 드라이브를 암호 해제해본다.






[그림 14] BitLocker 패스워드 해제 명령

이 D 드라이브의 BitLocker를 해제하기 위해 먼저 Command Line 명령 프롬프트를 실행한다. ‘manage-bde –unlock d: -password’라고 입력한다. 볼륨 암호를 입력하라는 메시지가 표시되면, 암호를 입력하여 잠금을 해제한다. 만약 패스워드 대신 복구키가 있다면 ‘-password’ 옵션 대신 ‘-RecoveryKey’ 옵션을 이용한다.



[그림 15] SAFE의 Run Program 화면

SAFE에서는 Windows용 타 도구 몇 가지를 지원한다. SAFE에서 지원하는 타 도구는 ‘www.forensicsoft.com’ 에서 목록을 확인할 수 있으며, 좌측의 Run Program에서 불러온다.




[그림 16] SAFE의 Task Manager 화면

좌측 Task Manager는 Microsoft Windows의 작업관리자이며, [그림 16]과 같이 실행 중인 애플리케이션, 프로세스 등의 정보를 확인할 수 있다.










[그림 17] SAFE 시스템 종료 전 로그 기록 알림 화면

좌측의 Help에서는 도움말을 확인할 수 있다.
Shutdown System은 시스템 종료 기능이며, 앞에서 언급한 바와 같이 종료 전 로그 저장 여부에 대한 선택문이 나타난다. 선택 후에는 종료된다.






도구 기능

본 도구의 가장 기본적인 기능은 Microsoft Windows가 설치된 인텔 기반 PC를 분석 가능하도록 부팅시켜주는 것이다. 본 도구를 통해 고정된 하드디스크든 이동식 디스크든 일단 PC에 접촉된 모든 디스크를 쓰기 방지 상태로 분석할 수 있다. 부가적인 기능은 다음과 같다.

  • SAFE 실행 중 드라이브 추가
  • Windows 용 타 포렌식 도구 동시 사용
  • 명령 프롬프트 기능
  • BitLocker로 보호된 드라이브 잠금 해제
  • SAFE 로그 저장
  • Windows와 같은 작업관리자 기능
  • SAFE 시스템 해상도 조절
  • SAFE 탐색기
  • 물리디스크 쓰기 방지 상태 해제 기능
  • IDE 디스크의 숨겨진 영역(HPA/DCO) 탐색 기능
  • MD5, SHA1 해시 추출기
  • 파일 상세 검색 옵션

제한사항

SAFE를 부팅하기 위해서는 최소 384MB의 RAM이 필요하지만, 메모리 부족 문제 등 안정성을 위해 512MB 이상의 RAM을 권장한다. 더불어 본 도구는 NTFS를 지원하며, DOS나 리눅스 OS 부트 디스크는 NTFS 파일시스템으로의 이미징 작업을 지원하지 않는다.
SAFE는 USB 또는 CD로 부팅한다. 또한, 라이선스 동글 USB도 함께 접촉해야하기 때문에, 이를 고려한 물리적 환경을 갖춰야 한다.

수사 활용 방안

본 도구를 이용하면 PC의 하드디스크를 이미징하지 않고, 쓰기 방지 상태로 바로 분석할 수 있다. 따라서 PC를 분리할 필요가 없기 때문에, 랩탑이나 서버용 데스크탑에서도 유용하게 이용할 수 있다.