소개[편집]

SPO Investigator는 대검찰청ERC 과제에서 개발된 도구이며, Windows XP, Vista, 7 환경에서 실행 가능하다. 점검PC의 시스템 정보, 네트워크 정보 및 인터넷 접근 정보 등 각 항목별 정보를 수집하는 전용도구이며, 기존의 라이브 포렌식 도구들의 문제점을 개선한 GUI 기반 도구이다.

사용법[편집]

SPO Investigator는 시스템에 대한 정보를 수집하는 도구이며 SPO Investigator Analyzer는 수집된 결과를 로드하여 분석관이 해당 점검 PC의 수집된 자료를 분석하기 용이하게 제작된 도구이다. 시스템의 정보를 수집하기 위해 SPO Investigator을 실행한 화면은 아래 [그림 1]과 같다.

그림 1. SPO Investigator을 이용한 정보 수집

아래 [그림 2]은 SPO Investigator을 실행시킨 경로에 시스템 정보를 수집한 결과를 (사용자이름, 수집시간)_result.zip 파일로 생성한 화면이다.

그림 2. SPO Investigator 수집 완료 화면

수집이 완료된 zip 파일은 일반적인 압축해제 프로그램으로는 접근할 수 없으며 무결성을 위해 오직 SPO Investigator Analyzer로만 확인 및 분석이 가능하다. SPO Investigator Analyzer를 실행시킨 화면은 아래 [그림 3]과 같다.

그림 3. SPO Investigator Analyzer 실행 화면

SPO Investigator Analyzer를 사용하기 위해서는 패스워드를 입력해야 한다. 기본 패스워드는 “대검찰청!@#$“이며 변경을 위해서는 소스코드를 수정해야 한다.

실행이 되면 수집 결과 파일을 불러오기 위해 상단의 파일열기 아이콘을 클릭하거나 파일 – 열기 메뉴를 선택한다. 아래 [그림 4]는 수집 결과 파일을 불러오는 화면이다.

그림 4. SPO Investigator Analyzer 수집 결과 파일 불러오기

아래 [그림 5]은 수집된 파일을 분석한 결과를 보여주는 화면이다. 시스템, DNS, 네트워크, 프로세스, 레지스트리, 인터넷, 서비스에 관한 정보를 분석해준다.

그림 5. SPO Investigator Analyzer 분석 완료

도구 기능[편집]

SPO Investigator에서 제공하는 수집 기능은 크게 시스템, DNS, 네트워크, 프로세스, 레지스트리, 인터넷, 서비스이며 세부사항은 아래 [그림 6]과 같다.

그림 6. SPO Investigator 구성도

크게 7가지 항목으로 분석을 해주며, 29가지 세부 점검 항목으로 구성되어 있다. 모든 출력 화면은 동일한 형태이며 분석가로 하여금 가독성을 높이기 위해 행과 열로 출력을 해준다. 아래 [그림 7]은 SPO Investigator Analyzer의 문자열 검색 기능을 사용하는 화면이다.

그림 7. SPO Investigator Analyzer 문자열 검색 기능

아래 [그림 8]은 열 선택 기능의 화면이다. 분석가가 분석 시 화면에 표시할 열을 선택하여 출력할 수 있다.

그림 8. SPO Investigator Analyzer 열 선택 기능

제한사항[편집]

Internet Explorer 10부터 사용되는 WebCacheV01.dat에 대한 분석이 되지 않아 버전 10 이상부터는 분석이 불가능하다. 또한 윈도우8의 경우 정보수집이 정상적으로 이루어지지 않는다.

수사 활용 방안[편집]

SPO Investigator는 기존의 라이브 포렌식 도구들의 단점을 최소화하고 장점을 극대화하여 제작한 도구로써, 데이터에 대한 기밀성과 무결성을 지켜주고 수집된 데이터들을 분석에 용이하게 분류하여 가독성이 뛰어나다. 또한 사용하기 편하고 GUI 환경으로 개발되어 분석가로 하여금 상당히 편리한 도구이다. 수사에 꼭 필요한 정보들만 수집해주므로 윈도우XP, Vista, 7 환경의 분석과 수사에 유용한 도구이다.