AD Triage

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

[그림 1] AD Triage

AD Triage는 AccessData에서 개발한 상용 Triage 도구로서 Window 운영체제 환경에서 실행 가능하다. 1개의 라이선스의 가격은 $1,500이며, 현재 2013년 10월에 개발된 AD Triage v2.4.0이 사용되고 있다. 파일 시스템과 키워드, 해시, 정규 표현식, 파일 크기, 날짜 및 시간, 규격, 파일 경로 및 불법 이미지 등의 기준으로 해당 데이터를 미리 볼 수 있으며, 네트워크 및 시스템 정보를 수집할 뿐만 아니라 라이브 메모리도 수집할 수 있다. 또한 전체 디스크, 볼륨 또는 주변장치, USBㆍ외장하드에 저장하거나 동일 네트워크의 지정된 위치에 저장한 데이터 추출이 가능하다. AD Triage의 실행 화면은 [그림 1]과 같다.



사용법

[그림 2] AD Triage 초기 화면
[그림 3] Manage Licenses 화면
[그림 4] Profile 선택 화면
[그림 5] Device Setup 화면
[그림 6] TriageAgent.exe 실행 화면
[그림 7] 데이터 수집 화면
[그림 8] 수집 결과
[그림 9] Browser System 화면
[그림 10] evidence 탭 실행 화면
[그림 11] Manage Triage Devies 실행 화면
[그림 12] Evidence Review 실행 화면
[그림 13] 생성된 보고서

AD Triage는 Admin Interface와 Collection Interface로 구성되는데, 먼저 Admin Interface에 AD Triage CD를 설치하고 USB dongle을 컴퓨터에 연결한다. 설치된 AD Triage를 실행하면 [그림 2]과 같은 초기 화면이 나타난다.

Configure 탭을 클릭하여 증거 수집시 수사관이 적용할 Profile을 만들거나 기존에 구성되어 있는 Profiles을 수정 또는 삭제 할 수 있다. 또한 Custom Filters, Regular Expressions, Keywords, File Hashes도 편집할 수 있다. Profiles, Filters 등의 편집이 완료되면 Triage Device를 세팅한다. Admin 탭에서 Manage Licenses를 실행한 후, 연결되어 있는 USB 및 외장형 저장매체 중에서 Collection Interface로 사용할 라이선스 장치를 선택한다. 이때, 선택된 장치는 포맷 과정을 거친다.

이후, Devices 탭을 클릭하여 Triage Device를 만든다. [그림 3]과 같이 Triage Device에서 적용할 Profile을 하나 이상(Shift 또는 Ctrl 키를 사용하여 복수 선택 가능) 선택한다. 이어서 아래의 [그림 4]와 같이 Case/Agent Name 입력 등 Device Setup 작업을 완료하면 최종적으로 Triage Device가 만들어 진다. Admin Interface에서 만들어진 Triage Device를 대상 컴퓨터에 연결한다. ‘Agent’ 폴더에 있는 TriageAgent.exe 파일을 실행한다. 실행 화면은 [그림 5]와 같다.

Profiles 목록에서 1개의 Profile을 선택하면 [그림 6]과 같은 데이터 수집 화면이 나타난다. 여기서 세부 수집 대상을 선택하고 화면 우측 상단에 있는 녹색 화살표를 클릭하여 데이터를 수집한다.

수집이 완료되면 좌측 메뉴 바의 해당 탭이 녹색으로 바뀌고, 이를 선택하면 [그림 7]과 같이 수집된 파일을 확인할 수 있고, ‘Browser System’에서 특정 시스템 드라이브를 선택하여 [그림 8]과 같이 view 창을 통해 각 파일들의 파일명, 생성ㆍ수정일자, 크기, 헥사값 등도 확인할 수 있다. 또한, 우측 상단의 ‘Queue for Export’를 선택하여 AD1과 RAW 파일을 만들 수 있으며, 증거의 크기를 고려하여 압축도 가능하다.

추출되지 않은 데이터가 있으면 ‘Evidence’가 빨간색으로 표시되며, 모든 증거가 추출되면 녹색으로 표시된다. Evidence’ 탭에서는 수집된 데이터를 저장 위치를 지정하여 추출하거나 추출된 데이터의 진행상황을 살펴볼 수 있다. [그림 9]는 ‘Evidence’ 탭 실행 화면이다. 수집된 증거 분석은 Admin Interface에서 이루어지므로, Admin Interface에 증거가 저장되어 있는 Triage Device를 연결하여 [그림 10]과 같이Device 탭의 ‘Manage Triage Devices’를 실행하고, 해당 증거 파일을 선택 하여 저장하고 창을 닫는다.

Admin 탭에서 ‘Manage Saved Collections’를 실행한 후, 관리 대화창에서 ‘Review’를 선택하면 [그림 11]과 같은 보고서 출력을 위한 화면이 나타난다. 다음으로 ‘Create Report’를 선택하여 보고서를 생성한다. [그림 12]는 생성된 보고서이다.


도구 기능

AD Triage에서 수집 가능한 세부 항목은 [표 1]와 같다.


[표 1] AD Triage 기능
구 분 세부 항목
Browser Chrome Browser History, Default Browser(웹기반 콘텐츠의 Default Browser) History, Firefox Browser History, Internet Explorer History/레지스트리 키/ Type URLS
Files Desktop Files, Media Player(최근 엑세스한 미디어 파일), MS Office(최근 열어본 파일목록), Recent Files, Temporary Executables(사용자의 temp 폴더에 저장된 목록)
Network IP Addresses(대상과 연관된 IP), Live ARP Table, Live DNS Cache, Live Domain Systems, Live Local Shares, Live Network Adapters/Connections, Live Remote Shares, Live Routing Tables
Software Adobe History, Application History, Installed Software, Manually Launched Applications, Microsoft Management Console, Program Files, Statup Programs
System Acquire windows Rgistory, Live Clipboard, Live Device Drivers, Live Memory Dump, Live Processes, Live Scheduled Tasks, Live Screenshots, Live Services, Live User Accounts, Live User Groups, System Information
Users Owner Information, SAM Users


제한사항

Triage-Examiner에서 이동식 저장장치에 별도의 Triage Key를 만들어 사용하는 것처럼, AD Triage 역시 별도의 저장장치에 대한 라이선스 부여 및 수집 대상에 적용할 Profile과 필터 설정, Triage Key 생성의 처리 과정이 필요하다. AD Triage는 Windows 운영체제 환경에서만 실행 가능하며, 기존에 로컬 드라이브에 맵핑된 네트워크의 위치에 추출할 수 없다.


수사 활용 방안

Triage-Examiner는 별도 생성한 Treage Key와 인증키를 대상 컴퓨터에 연결해야하지만, AD Triage는 별도 생성한 Triage Key 하나만 대상에 연결하면 데이터 수집이 가능하다. 수사관은 Triage Key 생성시 직접 원하는 파일 생성ㆍ수정ㆍ접근 일시, 확장자, 경로, 크기, 이름, 키워드, MD5 Hash, Regular Expression을 필터로 생성할 수 있고, 수집된 데이터는 Browser System을 이용하여 데이터 검색, 각 파일의 헥사 값 확인, 미리보기, AD1과 RAW 파일 생성 등의 기능을 지원하여 수사관이 원하는 파일의 검색 및 수집에 효율적이다.