DEFT
소개
DEFT(Digital Evidence & Forensics Toolkit)는 DEFT Staff에서 개발한 포렌식 Live CD/VM이며 프리웨어로 제공된다. 최신 업데이트는 2014년 4월 24일이며, 최신 버전은 8.1이다. 본 위키에서는 최신버전인 8.1버전을 사용하였다.
DEFT에서 제공하는 포렌식 도구들의 카테고리는 통합 포렌식, 저장 장치 데이터 수집, 파일 시스템, 데이터 복구, 네트워크, 패스워드, OS 아티팩트, 탐색기, 모바일, 해시, 타임라인 분석 도구 등이다. DEFT에서 제공하는 도구 중 일반적으로 자주 사용되는 도구들은 FTK Imager, dd, DumpIt, Sleuthkit, Wireshark, ssdeep 등이 있다. DEFT의 실행 화면은 [그림 1]과 같다.
![[그림 1] DEFT 실행 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:DEFT_%EC%8B%A4%ED%96%89_%ED%99%94%EB%A9%B4.png)
사용법
DEFT는 3가지 모드로 로그인 할 수 있다. 3가지 모드에 대해서는 기능 분석에서 설명하도록 한다. [그림 2]는 Lubuntu 모드로 로그인 한 경우의 시작 화면이다. 로그인 모드는 [그림 2]와 같이 로그인 창에서 선택할 수 있다. [그림 3]은 Lubuntu Netbook 모드를 선택 후 로그인 한 시작 화면이다. [그림 4]는 Openbox 모드로 로그인 한 시작 화면으로 회색 배경만이 존재하며, 오른쪽 마우스 클릭으로 명령을 실행 할 수 있고, 최대 4개의 Display 전환이 가능하다.
![[그림 2] DEFT 로그인 화면(Login 모드)](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:DEFT_%EB%A1%9C%EA%B7%B8%EC%9D%B8_%ED%99%94%EB%A9%B4(Login_%EB%AA%A8%EB%93%9C).png)
![[그림 3] Lubuntu Netbook 모드 시작 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Lubuntu_Netbook_%EB%AA%A8%EB%93%9C_%EC%8B%9C%EC%9E%91_%ED%99%94%EB%A9%B4.png)
![[그림 4] Openbox 모드 실행 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Openbox_%EB%AA%A8%EB%93%9C_%EC%8B%A4%ED%96%89_%ED%99%94%EB%A9%B4.png)
[그림 5]에서 확인할 수 있듯이 DEFT는 Ubuntu 12.10 버전을 사용하고 있다.
![[그림 5] DEFT OS 버전 확인 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:DEFT_OS_%EB%B2%84%EC%A0%84_%ED%99%95%EC%9D%B8_%ED%99%94%EB%A9%B4.png)
DEFT는 초기 설치 시 키보드 세팅이 Italy로 되어 있으므로 특수 문자 입력 배열에서 기존과 차이가 있을 수 있다. 키보드 언어 설정을 변경하려면, 우선 [그림 6]과 같이 DEFT 로고 버튼을 클릭하여 Preference에서 Keyboard and Mouse를 클릭한다.
![[그림 6] DEFT 로고 메뉴 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:DEFT_%EB%A1%9C%EA%B3%A0_%EB%A9%94%EB%89%B4_%ED%99%94%EB%A9%B4.png)
그 다음 [그림 7]과 같은 화면에서 Keyboard 탭에서 lxkeymap 버튼을 클릭한다.
![[그림 7] DEFT Keyboard 설정 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:DEFT_Keyboard_%EC%84%A4%EC%A0%95_%ED%99%94%EB%A9%B4.png)
[그림 8]과 같은 화면에서 Korea, Republic of를 선택 후 Apply 버튼을 클릭하여 키보드 언어 설정을 변경할 수 있다.
![[그림 8] DEFT LXKeymap 설정 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:DEFT_LXKeymap_%EC%84%A4%EC%A0%95_%ED%99%94%EB%A9%B4.png)
DEFT는 통합 포렌식 도구, 저장장치 데이터 수집 도구, 파일시스템 분석 도구, 데이터 복구 도구, 네트워크 분석 도구, 패스워드 크랙 도구, 탐색기, 모바일 분석 도구, 해시, 타임라인 분석 도구 등을 지원한다. 이 도구들로 포렌식 수사의 상황에 맞게 각 도구를 사용하면 된다.
도구 기능
DEFT이 내장하고 있는 포렌식 도구 리스트는 [표 1]과 같다.
| 구분 | 도구명 |
|---|---|
| 통합 포렌식 도구 | Autopsy |
| dff | |
| 저장장치 데이터 수집 도구 | ddrescue |
| DCFLDD | |
| dhash2 | |
| Guymager | |
| 데이터 복구 도구 | Foremost |
| PhotoRec | |
| 네트워크 복구 도구 | Xplico |
| wireshark | |
| 패스워드 크랙 도구 | Hydra |
| 레지스트리 분석 도구 | Reglookup |
| 탐색기 | foremost |
| CATFISH | |
| Findwild | |
| 모바일 분석 도구 | ipddump |
| iPhone Backup Analyzer | |
| Bitpim | |
| adb | |
| apktool | |
| 해시 도구 | md5sum |
| sha1sum | |
| md5/sha1/sha256 | |
| dhash | |
| ssdeep | |
| 타임라인 분석 도구 | FLS |
| MACTIME | |
| log2timeline | |
| 기타 | Keepnote(파일분류) |
| maltego(시각화) | |
| Skype extractor | |
| Rifiuti(휴지통) |
상기한 바와 같이 DEFT는 Lubuntu, Lubuntu Netbook, Openbox의 3가지 모드를 지원한다. Lubuntu 모드는 [그림 2]와 같이 기존 Ubuntu와 동일한 바탕 화면 구성으로 바탕 화면이 Desktop 폴더의 내용을 그대로 반영한다. Lubuntu는 Ubuntu 모드에서 바탕 화면을 Desktop 폴더의 내용으로 구성하지 않고 [그림 3]와 같이 바탕 화면에 탭이 존재하며 탭의 이름을 카테고리로 한 도구들을 나타낸다. [그림 2-3-15]와 같이 Work탭에서는 DEFT에서 지원하는 Tool이 아이콘으로 나타나는 것을 확인할 수 있다.
![[그림 9] Lubuntu Netbook 모드에서 Work 탭 클릭시 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Lubuntu_Netbook_%EB%AA%A8%EB%93%9C%EC%97%90%EC%84%9C_Work_%ED%83%AD_%ED%81%B4%EB%A6%AD%EC%8B%9C_%ED%99%94%EB%A9%B4.png)
Openbox 모드는 [그림 4]와 같이 기본 바탕 화면이 흑백으로만 구성되어 있으며, 오른쪽 마우스를 클릭하여 Terminal, Web browser, Desktop 전환, Configuration, Restart, Exit 기능을 수행할 수 있다. Openbox 모드는 바탕 화면을 따로 구성할 필요가 없어 로그인 속도가 가장 빠르며, 작업 수행을 위해 다른 부가적인 기능을 모두 제거한 모드이다.
제한사항
DEFT가 내장하고 있는 도구들은 대다수가 구 버전이다. Wireshark의 경우 v1.8.2를 사용하고 있다. apktool의 경우 v1.5.4를 사용하고 있는데, 최근의 악성 어플리케이션이 apktool의 버그를 이용한 난독화 기술을 탑재하고 있어 v2.0.0이상의 버전이 반드시 필요하다. 또한 DEFT의 공개된 공식 매뉴얼은 v7에 대한 것으로 현재 출시되어 있는 v8.1에 대한 매뉴얼이 발간되지 않았다.
또한 DEFT에서 제공하는 도구들이 많기 때문에, 사용자가 각 도구들의 사용법을 숙지하고 있어야한다.
수사 활용 방안
DEFT의 Openbox 모드는 CUI와 GUI 모드의 중간 수준으로, 바탕 화면을 나타내지는 않지만, 커서를 통해 GUI 인터페이스를 사용할 수 있고, GUI 프로그램의 실행 역시 가능하다. GUI 기반의 운영체제의 경우 CUI 모드로 전환 시 GUI 분석 도구를 사용할 수 없다는 단점이 존재하고, GUI 모드 사용 시 Virtual Machine의 Guest로 사용하기에는 전체 시스템 사양을 저하시킨다는 단점이 존재한다. DEFT를 활용할 경우 Virtual Machine에 DEFT를 설치할 경우에도 시스템 자원을 최소화 할 수 있으므로 타 도구에 비하여 분석 기기가 느려지는 문제가 줄어들 것이다.
