4n6time

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

4n6time은 Kristinn Gudjonsson에서 개발한 timeline 분석 도구로, 프리웨어이다. 4n6time은 프리웨어이나 Verify 과정을 거쳐야 하며 Verify를 하지 않을 경우 분석 가능한 이미지의 크기가 100MB로 제한된다. 최신 업데이트 일자는 2014년 1월 16일이며, 최신 버전은 1.1.0이다. 4n6time은 Windows, Linux 또는 Macintosh 운영체제 환경에서 사용가능하다. 4n6time은 Plaso 엔진을 사용하여 timeline 결과를 GUI 형식으로 제공하고, log2timeline을 사용하여 timeline을 CSV 파일 포맷으로 제공하며, 이외의 출력 형태로는 GUI 그래프, 차트 출력과 CSV 포맷, sqlite 포맷이 있다. 4n6time의 실행 화면은 [그림 1]과 같다.

[그림 1] 4n6time 실행 화면



사용법

4n6time은 디스크 이미지나 로컬 드라이브로부터 Timeline을 생성할 수 있고, 생성된 Timeline을 SQLite나 MySQL DB 파일로 저장할 수 있는 기능을 가지고 있다. [그림 2]는 [File] -> [Create Timeline From Disk Image]를 클릭하여 C 드라이브로부터 Timeline 정보를 추출하는 화면이다. Next 버튼을 클릭 하면 [그림 3]과 같이 생성될 plaso dump 파일을 저장할 경로를 입력하는 창이 나타난다.

[그림 2] 4n6time의 Create Timeline From Disk Image 첫 화면
[그림 3] 4n6time의 Create Timeline From Disk Image(dump 파일 저장 경로 설정)

이후의 3개의 화면은 Next를 통해 별도의 옵션을 주지 않고 진행할 수 있으며 [그림 4]와 같은 화면에서 사용하고자하는 Parser를 선택하여 [Add Parser] 버튼을 클릭하여 Parser를 추가할 수 있다. 예제에서는 Windows 7에 해당하는 Parser를 선택하였다.

[그림 4] 4n6time의 Create Timeline From Disk Image의 실행 Parser 선택 화면

[그림 5]는 Filter를 설정하는 화면이며 여기에서는 기본 옵션으로 Parsing을 진행하였다. 마지막 [그림 6]의 화면에서 Finish 버튼을 클릭하면 Parsing이 시작된다.

[그림 5] 4n6time의 Create Timeline From Disk Image의 Filter 선택 화면
[그림 6] 4n6time의 Create Timeline From Disk Image의 Summary 화면

생성된 dump 파일을 통한 SQLite DB 생성은 File탭의 Create Database를 통해 실행할 수 있으며 초기 화면은 [그림 7]과 같다.

[그림 7] 4n6time의 Create Database 초기화면

파일 경로를 지정한 후 Test 버튼을 클릭하여 해당 파일이 4n6time에서 해석 가능한 파일인지의 여부를 검사한다. 정상적인 파일로 검증될 경우 [그림 8]과 같은 결과 화면이 나타난다.

[그림 8] 4n6time의 Create Dabase의 입력값 검증 결과 화면

파일 검증이 끝난 이후 다음 화면에서는 [그림 9]와 같이 저장할 DB의 포맷과 DB 저장 경로를 지정할 수 있다. MySQL의 경우 계정 및 연결 정보를 입력 받는다.

[그림 9] 4n6time Create Database의 DB 저장 경로 설정 화면

이후 화면에서는 [그림 10]과 같이 증거의 수집 날짜 및 장소를 기록할 수 있다. 예제에서는 공백으로 처리하였다.

[그림 10] 4n6time CreateDatabase의 Evidence 정보 입력 화면

이후 [그림 11]의 화면에서는 dump 파일의 Timeline 중에서 중복을 제거하거나 특정 시간대에 해당하는 정보만을 추출할 수 있는 필터링 옵션을 지정할 수 있다.

[그림 11] 4n6time Create Databse의 필터링 옵션 화면

이후 [그림 12]와 같이 DB에 들어갈 필드를 설정하는 화면이 나타나고, Finish 버튼을 누르면 DB 생성 작업에 진입하게 된다.

[그림 12] 4n6time CreateDatabase의 Index Field 설정

[그림 13]과 같이 DB 생성 작업이 완료된 이후에 화면상에 Parsing 결과가 나타나는 것을 확인할 수 있다.

[그림 13] Database 로드 화면



도구 기능

4n6time이 가지고 있는 기능은 다음 [표 1]과 같다.

[표 1] 4n6time 기능 목록
Open SQLite/MySQL Database DB 파일을 오픈
Create Timeline From DIsk Image Disk Image나 드라이브로부터 Image파일을 생성
Create Timeline From Mem Image 아직 지원하지 않음
CreateDatabase dump, csv로부터 DB 생성
AppendDatabse dump, csv로부터 DB 생성하여 기존의 DB에 추가함.
Filtering 로드한 DB에 존재하는 컬럼을 통한 필터링 기능
Create Database Report DB에 대한 Summary 정보를 Report한다.
Create Database Bookmark DB에 대한 Bookmark 정보를 csv 형태로 저장한다.
Create Chart Filter가 활성화된 상태에서 사용가능하며, Chart를 bar, line, pie 형태로 생성할 수 있음.
Export current page to CSV 현재 page를 CSV로 저장
Export all pages to CSV 모든 page를 CSV로 저장
Export highlighted rows to CSV 선택된 행을 CSV로 저장


4n6time은 차트 생성 기능을 지원한다. 차트 생성은 Filtering 작업이 우선적으로 이루어져야 한다. Filter는 [그림 14]와 같이 왼쪽 바에서 해당 필드를 클릭하여 필터로서 추가할 수 있다. 예제는 차트 생성을 위하여 Host가 Null이 아닌 모든 행을 포함하도록 필터링한 것이다.

[그림 14] 4n6time의 Filter 목록

차트 생성은 [Report] -> [Create Chart]를 선택하여 실행할 수 있다. 실행 후 [그림 15]와 같이 Chart를 생성을 위한 타겟을 설정한다. 예제에서는 FileSystem Activity에 대한 Chart를 생성할 것이다.

[그림 15] 4n6time Create Chart 초기 화면

다음 화면에서는 [그림 16]과 같이 해당 행위가 속하는 MAC Time에 대한 정보를 선택한다. MACB에서는 Modified, Accessed, Created를 선택할 수 있다.

[그림 16] 4n6time Create Chart MACB Type 선택 화면

다음 화면에서는 현재 DB에서 Chart를 생성할 페이지의 범위를 선택할 수 있다. 예제에서는 모든 페이지를 대상으로 Chart를 생성하였다.

[그림 17] 4n6time Create Chart Data 선택 화면

이후 화면에서는 [그림 18]과 같이 차트의 형태를 선택할 수 있다. 차트 형태는 bar, line, pie 형태가 존재하며 예제에서는 bar 형태의 차트를 생성하였다.

[그림 18] 4n6time Create Chart 차트 형태 선택

bar 형태의 차트를 선택하여 최종 실행 한 결과는 [그림 19]와 같다.

[그림 19] 4n6time Create Chart 실행 결과



제한사항

상기한 바와 같이 4n6time은 Verify Code가 필요하며, 실제 도구평가에서는 Verify Code를 요청한 정품을 사용하였다. 다만 Verify Code는 특정 PC에서만 사용할 수 있는 형태로 받을 수 있으며, 공식 홈페이지 상에서는 Verify Code를 요청하여도 2주 이상 응답이 없어 여러 PC에 4n6time을 설치하는 것이 어렵다. Verify Code가 없는 경우 100MB 미만의 DB 파일만을 처리할 수 있다. 또한 4n6time은 자체 CSV 파일 출력 기능을 가지고 있어 Excel상에서 4n6time이 지원하는 차트 형식보다 다양하게 그래프를 생성할 수 있다.

수사 활용 방안

4n6time은 log2timeline, plaso 이후에 개발된 도구로 기존의 CLI상에서 이미지 또는 드라이브의 Timeline 정보를 추출하는 커맨드 입력 작업을 간소화하여 GUI 환경에서 빠르게 수집, 저장, 필터링, 출력 작업을 할 수 있으며, 필터링 조건 역시 시각화되어 사용 방법을 빠르게 익힐 수 있다는 장점을 가지고 있다.