SIFT
소개[편집]
SIFT(SANS Investigate Forensic Toolkit)는 SANS에서 개발한 포렌식 Live CD/VM이며, 프리웨어로 제공된다. 최신 업데이트는 2014년 3월 14일이며, 최신 버전은 3.0.7이다. 본 위키에서는 최신버전인 3.0.7버전을 사용하였다.
SIFT가 제공하는 포렌식 도구들의 카테고리는 통합 포렌식, 데이터 복구, 파일시스템, 메모리, 네트워크, OS 아티팩트, 웹브라우저, 이메일, 타인라임, 문서, 모바일, 해시, 패스워드 크래커, 스테가노그라피, 암호화이다. SIFT에서 제공하는 도구 중 일반적으로 자주 사용되는 도구들은 Sleuth Kit, Volatility, Wireshark, tcpdump, ssdeep, john the ripper, outguess 등이 있다. SIFT의 실행 화면은 [그림 1]과 같다.
![[그림 1] SIFT 실행 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:SIFT_%EC%8B%A4%ED%96%89_%ED%99%94%EB%A9%B4.png)
사용법[편집]
SIFT의 초기 화면은 로그인을 요구하며, 루트 패스워드는 'forensics'이다. 루트 권한 패스워드 설정은 terminal 창을 열고 [표 1]의 커맨드를 입력하면 된다.
| sudo passwd root [sudo] password for sansforensics: forensics Enter new UNIX password: [설정할 패스워드] Retype new UNIX password: [설정할 패스워드] |
실제 실행 결과는 [그림 2]와 같다.
![[그림 2] SIFT root 패스워드 설정 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:SIFT_root_%ED%8C%A8%EC%8A%A4%EC%9B%8C%EB%93%9C_%EC%84%A4%EC%A0%95_%ED%99%94%EB%A9%B4.png)
SIFT는 Ubuntu기반으로 제작되었으며 버전은 [그림 3]과 같이 확인 가능하며, SIFT의 기반 OS는 Ubuntu 12.04 LTS임을 알 수 있다.
![[그림 3] SIFT OS 버전 확인](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:SIFT_OS_%EB%B2%84%EC%A0%84_%ED%99%95%EC%9D%B8.png)
SIFT는 통합 포렌식 도구, 데이터 복구 도구, 파일시스템 분석 도구, 메모리 분석 도구, 네트워크 분석 도구, OS 아티팩트 분석 도구, 웹 브라우저 분석 도구, 이메일 분석 도구, 타임라인 분석 도구, 문서 분석 도구, 모바일 분석 도구, 해시, 패스워드 크래커, 스테가노 그래피, 암호화 등의 다양한 도구를 제공하고 있다. 이 도구들로 포렌식 수사의 상황에 맞게 각 도구를 사용하면 된다.
도구 기능[편집]
SIFT의 지원 파일 시스템은 NTFS, FAT, EXT, UFS, ISO9660, HFS+ 등이 있으며, 지원 Evidence Image는 RAW, AFF, AFD, EWF, E01 등이 있다. 또한 지원 파티션 테이블은 DOS, MAC, BSD, SUN, GPT가 있다. 이를 정리하면 [표 2]와 같다.
| 항목 | 지원 리스트 |
|---|---|
| 파일시스템 | NTFS, FAT12, FAT16, FAT32, EXT2, EXT3, EXT4, UFS1, UFS2, ISO9660, HFS, HFS+, SWAP, MEMORY(RAM Data), VMDK, RAW |
| Evidence Image 포맷 | RAW(단일 RAW 파일(dd)), AFF, AFD, AFM, AFFLIB, EWF, Split RAW, 분할된 E01 파일, 001 Image |
| 파티션 테이블 | DOS(DOS 파티션 테이블) MAC(MAC 파티션 테이블) BSD(BSD Disk 레이블) SUN(솔라리스) GPT(GUID 파티션 테이블) |
SIFT가 내장하고 있는 포렌식 도구는 [표 3]과 같다.
| 구분 | 도구명 |
|---|---|
| 통합 포렌식 도구 | DFLabs PTK |
| Autopsy | |
| DFF | |
| 데이터 복구 도구 | Foremost |
| magicresuce | |
| safecopy | |
| testdisk | |
| Scalpel | |
| gzrecover(gz복구) | |
| 파일시스템 분석 도구 | Sleuth Kit |
| 메모리 분석 도구 | Rekall |
| Volatility | |
| 네트워크 분석 도구 | WireShark |
| Snort | |
| tcpdump | |
| ettercap | |
| driftnet | |
| tcpreplay | |
| tcpxtract | |
| tcptrack | |
| tcpflow | |
| p0f | |
| arping | |
| ngrep | |
| netwox | |
| lft | |
| netsed | |
| socat | |
| knocker | |
| nikto | |
| nbtscan | |
| OS 아티팩트 분석 도구 | sbag |
| YARU | |
| Regripper | |
| lslnk | |
| log2timeline | |
| Evtxtools | |
| evtx_view | |
| 이메일 분석 도구 | readpst |
| Bulk-Extractor | |
| 문서 분석 도구 | pdfid |
| pdfinfo | |
| 해시 | ssdeep & md5deep |
| 패스워드 크래커 | CmosPwd |
| samdump2 | |
| bkhive | |
| ophcrack | |
| 스테가노 그라피 | outguess |
| 암호화 | cryptcat |
| bcrypt | |
| ccrypt |
제한사항[편집]
SIFT가 내장하고 있는 도구 대다수는 최신 버전이 아닌 구 버전이다. Wireshar의 경우 SIFT의 버전은 1.10.5이나, 출시된 버전은 1.10.7 이상이다. 또한 TZworks에서 개발한 Yaru는 상용 도구로 SIFT에 최신 버전이 포함되어 있으나 실제로 demo 버전으로만 사용가능한 도구로 모든 도구가 사용 가능한 상태가 아니기 때문에, Live CD/VM을 통해 포렌식 워크스테이션을 구성하기 이전에 미리 도구별 사용 가능 여부에 대하여도 검증하여야 할 것이다. 또한 SIFT에서 제공하는 도구들이 많기 때문에, 사용자가 각 도구들의 사용법을 숙지하고 있어야한다.
수사 활용 방안[편집]
상기한 단점에도 불구하고 Livd CD / VM이 가지는 장점은 Linux 기반의 도구를 설치할 때에 생길 수 있는 불필요한 세팅, 설정, 추가 다운로드 과정을 생략할 수 있다는 것이다.
즉, SIFT가 주기적으로 업데이트 된다는 가정 하에서는 Laptop에 SIFT를 설치하고, 추가적인 도구를 설치하여 수사 현장에서 사용하는 것이 효율적일 수 있다.
