Autorunner
소개
autorunner는 Microsoft의 자동실행 기능에 기반하여 개발됐다. 본 도구는 호스트의 모든 사용자 프로필을 확인하고, lnk 파일을 실제 바이너리 수준으로 파싱한다. 라이브 상태는 지원하지 않으며, 마운트 된 이미지가 변조되지 않도록 쓰기 상태인지를 확인한다. 본 도구는 Windows에서 GUI를 지원하며, ‘http://www.woanware.co.uk/forensics/autorunner.html’ 에서 오픈소스로 제공된다.
사용법
본 도구로 증거물을 분석하기 전에 우선 분석할 이미지를 마운트한다. 이 때 마운트 된 드라이브는 쓰기 가능한 상태여야 한다.
이미지 마운트 후, autorunner를 실행하여 ‘File > Import’메뉴를 선택한다. [그림 1]과 같이 Import에서 드라이브 추가 버튼을 선택한 후, [그림 2]와 같이 Drive Mapping 창에서 분석할 이미지에서의 원래 드라이브명(Orignal Drive)과 마운트 된 드라이브명(Mapped Drive)을 설정한다. Windows가 설치된 드라이브라면, Is Windows Drive를 체크한다. Registry Path에는 [그림 3]과 같이 현재 마운트 된 드라이브 기준으로 레지스트리 정보가 존재하는 경로를 입력한다. 레지스트리 정보는 ‘%SystemRoot%\system32\config’ 폴더에 존재한다. [그림 4]는 autorunner 실행 결과이다.
실행 결과 목록은 ‘File > Export > All’을 통해 .tsv 파일로 추출할 수 있다. 또한 목록에서 오른쪽 클릭을 하면 원하는 목록의 정보를 복사할 수 있으며, 속성 제목에 오른쪽 클릭 시 필터링 기능을 이용할 수 있다. 만약 분석 결과 데이터가 없는 열을 복사하려고 하면 오류가 발생하면서 도구가 종료된다.
도구 기능
주요 기능은 설정된 드라이버, 서비스, 자동실행 등 시스템과 관련된 레지스트리 하이브 파싱이다. 부가적으로는 다음과 같은 기능이 있다.
- 분석 결과 .tsv로 출력
- 분석 결과 필터링 기능
- 한 번에 모든 사용자 프로필의 경로를 처리
제한사항
본 도구는 Microsoft .NET Framework v4.5의 설치를 필요로 하며, 그렇기 때문에 Windows Vista SP2 이상에서 가능하다. 라이브 상태에서는 지원하지 않으며, 만약 라이브 상태의 드라이브를 분석할 경우에는 아무것도 출력되지 않는다.
더불어 본 도구는 예외 처리가 잘 되어있지 않아, 앞서 설명한 사용법을 준수하지 않을 경우 프로그램은 오류에 대한 설명 없이 종료된다.
수사 활용 방안
라이브 포렌식의 경우가 아니라면, 본 도구를 활용하여 자동 실행 관련 레지스트리 정보를 확인할 수 있다. 도구 실행 결과를 필터링 할 수 있다는 장점이 있다. 하지만 앞서 언급했듯이 오류에 대한 예외 처리가 잘 이루어지지 않아, 수사 기관에서 활용하기에는 안정성에 문제가 있다.
