포렌식 Live CD / VM

Digital Forensic Wikipedia
JaehyeokHan (토론 | 기여)님의 2015년 1월 26일 (월) 21:11 판
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 가기 검색하러 가기

포렌식 Live CD / VM은 설치 없이 즉시 부팅하여 사용할 수 있는 Live CD나 Virtual Machine 형태로 제공되는 포렌식 전용 OS를 말한다. 포렌식 Live CD / VM는 각종 포렌식 도구를 카테고리별로 정리하여 제공하여, 별도의 소프트웨어 설치 과정을 최소화 할 수 있다는 장점을 가지고 있다.




라이브 CD/VM 도구 기능 분석

구 기능 분석 결과, 선정한 라이브 CD/VM 도구들은 서드파티 도구를 내포하고 있는 OS로 도구 자체가 수집 및 분석 기능을 수행하는 것이 아니라 서드파티 도구가 그 역할을 수행함을 확인할 수 있었다. 따라서 라이브 CD/VM 도구의 활용도는 ‘어떤 서드파티 도구를 내포하고 있는가’를 평가한다. 또한 CD를 통한 부팅으로 조사 대상 PC를 부팅시켜야 하므로 ‘RAM 크기에 따른 정상 동작 여부’를 평가함으로써 도구의 실질적인 기능을 평가할 수 있다.

[표 1] 라이브 CD/VM 테스트 항목
이름 도구 개수 비고 동작 환경
1G 2G 4G
Helix3 Pro 23개 적은 도구 개수, 업데이트 X 동작여부
SIFT 47개 네트워크 분석 도구 다량 보유
PALADIN 27개 메모리 분석 도구 X
Deft 29개 웹 브라우저 분석 도구 X
C.A.IN.E 38개(제휴 81개) 다양한 포렌식 도구 보유

테스트 결과, 속도 차이는 있었지만 5개 도구 모두 1G RAM 이상의 컴퓨터에서 CD부팅을 통해 정상 동작 했으며, SIFT는 VM 이미지만 제공하여 VM 환경에서 테스트 했다. 또한 모든 서드파티 도구들이 정상 동작함을 확인 했다. 라이브 CD/VM 도구의 특성 상 내포하고 있는 서드파티 도구의 종류와 개수가 상당한 차이를 보인다. 업데이트 날짜, 도구 개수, 자주 사용하는 서드파티 도구 내포 여부, 전체적인 성능 등을 평가하였을 때 네트워크 분석용 도구를 많이 내포하여 네트워크 분석에 특화된 SIFT와 전체적으로 다양한 도구를 내포하는 C.A.I.N.E을 사용할 것을 권장한다.