‘디지털 포렌식 도구’는 디지털 포렌식 수사에 활용할 목적으로 개발된 도구를 의미한다. 디지털 포렌식 도구는 기능별로 분류를 하였으며 총 18개의 카테고리로 구분한다. 본 장의 각 절에서는 분류한 카테고리에 해당하는 도구들에 대한 소개를 한다. 소개한 도구들 중에 활용도가 높은 도구를 상세분석대상 도구로 선정하여 사용법, 도구 기능, 제한사항, 수사 활용 방안을 설명한다. 각 절의 마지막 항에는 도구 기능 분석 전략과 구축한 테스트 데이터 세트로 실험한 결과를 제시한다.

[표 1] 디지털 포렌식 도구 분석 대상 도구
구분	payware (상용)	freeware (무료)
통합 디지털 포렌식 도구	EnCase FTK (Forensic Tool Kit) Forensic Explorer X-Ways Forensics BlackLight [상세 분석 대상에서 제외된 도구] Autopsy Mac Marshal Forensic Edition
데이터 복구 도구	Quick Recovery GetDataBack Stellar Phoenix Windows Data Recovery Stellar Phoenix Mac Data Recovery Data Rescue For Windows PCs Data Rescue For Mac Ontrack EasyRecovery R-Studio Recoery My Files Power Data Recovery
포렌식 Live CD / VM	Helix	SIFT PALADIN DEFT C.A.IN.E
Triage 도구	Triage-Examiner AD Triage Encase Portable FieldSearch-Win/MAC CFT [상세 분석 대상에서 제외된 도구] IEF-TRIAGE Mac Marshal : Forensic Edition Mac Marshal : Field Edition
라이브 포렌식 도구	WFT(Windows Forensic Toolchest)	FPLive_win Dual Purpose Volatile Data Collection Script IRCR(Incident Response Collection Report)
이미징 도구	X-Ways Imager MacQuisition	FTK Imager Tableau Imager EnCase Imager
이미지 마운트 도구	Mount Image Pro	Arsenal Image Mounter OSFMount P2 eXplorer [상세 분석 대상에서 제외된 도구] Live View raw2vmdk ImDisk
파일시스템 메타데이터 분석 도구	NTFS Directory Enumerator (ntfsdir) Windows INDX Slack Parser (WISP) Windows $MFT and NTFS Metadata Extractor Tool (ntfswalk) Graphical Engine for NTFS Analysis (gena)	AnalyzeMFT mft2csv MFTView
메모리 획득 도구	[상세 분석 대상에서 제외된 도구] FastDump Pro	DumpIt WinPmem Winodws Memory Reader Fmem LiME OSXPmem Mac Memory Reader [상세 분석 대상에서 제외된 도구] FastDump MDD Memoryze
메모리 분석 도구	[상세 분석 대상에서 제외된 도구] Mem Marshal Second Look® Responder Pro	Redline Volatility Volafox Volafunx
레지스트리 분석 도구	Windows USB Storage Parser(USP) Yet Another Registry Utility(YARU) Registry Recon REGA(Registry Analyzer) Registry Workshop	RegRipper UserAssist RegRipperRunner ForensicUserInfo USBDeviceForensics Registry Decoder
타임라인 분석 도구		log2timeline plaso 4n6time Timeliner Timeline Report
링크파일 분석 도구	Windows LNK Parsing Utility	lnkanalyser LNKParser
로그 분석 도구	Event Log Explorer Windows Journal Parser (jp) Windows Eventlog Parser (evtwalk) Windows Event Log Viewer (evtx_view)	Log Parser LogFile Parser NTFS Log Tracker UsnJrnl2Csv
웹브라우저 사용흔적 분석 도구	IEF(Internet Evidence Finder) WEFA(Web browser Forensic Analyzer)	BrowsingHistoryView ChromeCacheView ChromeForensics ChromeHistoryView FireFoxForensics firefoxsessionstoreextractor IECacheView IECookiesView IEHistoryView MozillaCacheView MozillaCookiesView MozillaHistoryView MyLastSearch OperaCacheView SafariCacheView SafariHistoryView WebBrowserPassView Windows ‘index.dat’ Parser (id)
프리패치 분석 도구	Windows Prefetch Parser (pf)	APFA(Advanced Prefetch File Analyzer) Prefetch Parser PrefetchForensics WinPrefetchView
이메일 분석 도구	E-mail Examiner Mail Viewer	Email Utilities
기타 포렌식 도구	Portable Executable Scanner(pescanner) SAFE Windows boot disk Windows Jump List parser(jmp)	autorunner eMule Reader JumpLister Redlight Porn Scanner SFP(Simple File Parser) shimcacheparser Thumbnail Database Viewer Windows File Analyzer Windows Search Index Extractor

참고

디지털 포렌식 도구

참고

둘러보기 메뉴

개인 도구

이름공간

변수

보기

더 보기

검색

둘러보기

도구