WFT(Windows Forensic Toolchest)

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

WFT(Windows Forensic Toolchest)는 FoolMoon에서 개발한 라이브 포렌식 도구이며, Windows 환경에서 실행 가능하다. WFT는 2014년 3월 16일(v3.0.08)에 마지막 업데이트 되었으며, 제조사 Foolmoon에서 무료로 다운 가능하나 라이선스가 필요하므로 라이선스를 구매하여 입력해야 사용 가능하다. WFT의 실행 화면은 [그림 1]와 같다.

그림 1. WFT(Windows Forensic Toolchest) 실행 화면








사용법

WFT를 사용하기 위해서는 FoolMoon을 통해 라이선스를 구매해야 한다. 구매한 라이선스는 WFT 폴더 내에 wft_reg.xml 파일로 저장을 시켜주면 인증이 가능하다. 라이선스 인증 과정은 아래 [그림 2]과 같다.


그림 2. WFT 라이선스 인증









활성상태 또는 비활성상태의 데이터를 수집하기 위해 어떤 도구를 사용할지를 설정할 수 있다. 아래 [그림 3]는 wft.cfg 설정 화면이다. wft.cfg 파일에는 WFT에서 사용 가능한 도구들의 정보와 해시값이 들어있다. 이 파일을 수정하여 사용하고자 하는 도구를 설정할 수 있다.


그림 3. wft.cfg 설정 화면









아래 [그림 4]은 수집 시 사용하고자 하는 도구들의 경로에 대한 설정 화면이다. 입력한 경로에 도구들을 다운로드 받아놔야 사용 가능하다. 도구를 다운로드 하는 방법은 wft.exe –fetchtools 라는 옵션을 통해 다운로드 가능하다.


그림 4. WFT Tool 경로 설정









이외에 다양한 옵션들을 설정하고 나면 아래 [그림 5]과 같이 최종적으로 옵션을 확인하는 화면을 통해 설정한 값들을 확인할 수 있다.


그림 5. WFT 최종 옵션 확인 화면








분석가가 설정한 옵션이 맞다면 Y를 입력하여 수집을 진행하면 된다. 아래 [그림 6]는 수집을 진행하고 있는 화면이다.


그림 6. WFT 수집 진행 중 화면









선택한 도구들을 통해 시스템 정보 수집이 완료되면 아래 [그림 7]과 같이 텍스트 파일 형태로 수집된 정보를 저장한다.


그림 7. WFT를 통해 수집된 시스템 정보









도구 기능

WFT.cfg 파일을 열어보면 WTF를 통해 운영체제, 기능별로 사용할 수 있는 도구들의 소개와 해시값, 다운받을 수 있는 경로 등이 기술되어 있다. WFT에서 사용 가능한 툴들은 운영체제 별 OS 수집 15종, 레지스트리 8종, IE 활동 정보 수집 4종, 파일 시스템 12종, 이벤트 로그 2종, 계정정보 3종, 네트워크 정보 13종, 드라이버 정보 1종, 서비스 정보 5종, 프로세스 정보 10종 등을 지원한다. 추출한 데이터들은 .txt 파일과 .html파일로 생성된다.

제한사항

제조사 홈페이지에서는 WFT v3.08버전에서 윈도우7을 지원한다고 명시되어 있으나 wft.cfg 설정파일을 확인한 결과 윈도우7에 대한 툴 설정 값들을 확인할 수 없었고, 윈도우7에서 사용해본 결과 정상적인 시스템 정보 추출이 불가능 했다. 또한 사용자가 직접 수집을 위한 도구들을 구하여 WFT의 옵션에서 지정한 특정 폴더에 넣어야 사용자가 원하는 정보 수집이 가능하다는 제약이 있다.

수사 활용 방안

다른 라이브 포렌식 도구들보다 상대적으로 많은 옵션과 도구들을 지원하여 분석가로 하여금 다양한 설정을 통해 정확한 시스템 분석이 가능하다. 사전에 사용자가 필요한 도구를 미리 내장시켜놓는다면, 범죄 현장에서 의심 PC를 분석할 때 상황에 맞는 분석 옵션과 도구들을 사용하여 보다 빠르고 정확하게 수사가 가능할 것이다. 다만 구동 환경이 제한적이기 때문에 사전에 분석 대상 PC에 대한 정보가 충분히 확보해야 본 도구를 적극적으로 활용할 수 있을 것이다.