FieldSearch-Win/MAC
소 개[편집]
FieldSearch는 NLECTC(National Law Enforcement and Corrections Technology Center)에서 비전문적인 수사관이 현장에서 신속하고 효율적으로 대상 컴퓨터를 검색하고 결과에 대한 자세한 보고서를 작성할 수 있도록 개발한 소프트웨어로, Windows 및 Mac 운영체제에서 사용할 수 있으며, 현재 FieldSearch v4가 사용되고 있다. 브라우저 히스토리, JPEGㆍGIFㆍBMPㆍPNG 등의 이미지 검색, WMVㆍMPEGㆍFLV 등 비디오 파일 검색, 텍스트 검색 등을 수행할 수 있으며, 데이터 추출 및 보고서 작성이 가능하다.
사용법[편집]
(1) Windows
FSWin.exe 파일을 더블 클릭하면 라이선스 동의 여부를 묻는 창이 나타난다. 여기서 ‘Accept’를 클릭하면 [그림 1]과 같은 FieldSearch 실행 화면이 나타난다.
New Scan 버튼을 눌러 대상 드라이브 또는 폴더를 선택한 후 작업을 실행한다. ‘Fixed Drives’는 컴퓨터에 연결된 모든 하드 드라이브를 자동으로 선택하며, ‘Unselect All’은 어떤 드라이브도 선택하지 않는다. ‘Refresh’는 연결된 매체의 목록을 새로 고침하고, ‘Single Scan’은 각각의 폴더를 낱개로 지정하는 것으로, 폴더 지정 시 드라이브 목록에 생성되는 해당 폴더를 반드시 선택하여 작업을 실행한다. [그림 2]는 Drive 선택 화면이다.
Options에서는 드라이브 스캔을 위한 옵션을 설정할 수 있으며, [그림 3]와 같다. ‘Collect Images’는 JPG, BMP, GIF, PNG 등 확장자를 가진 그래픽 이미지를 조사한다. ‘Collect Internet History’는 인터넷 브라우저의 논리적 캐시와 히스토리 파일 정보를 찾는다. ‘Scan in ZIP archives’는 암호화되지 않은 모든 ZIP 파일을 열고 옵션에서 설정된 모든 파일을 검색한다. ‘Check all file headers’는 이름을 바꾼 사진 파일이 있는지 확인하기 위해 모든 파일의 헤더 데이터를 검사한다. ‘Perform keyword search’는 ‘Keywords Search’ 탭에 입력한 단어와 일치되는 파일들을 검사한다. ‘Search for link files’은 미디어 링크 파일을 스캔한다. ‘Search for MRUs’는 레지스트리에서 최근 사용한 항목을 자동으로 검색한다. ‘Media Files Exts’는 찾기 원하는 동영상 파일의 확장자를 입력하여 검색한다.
Keywords Search에서는 수사관이 검색 단어나 문구 그리고 파일 형식을 입력하여 검색할 수 있다. 검색을 원하는 문구는 정확해야 하며, 검색시에는 파일 크기를 설정하여 기준보다 큰 파일을 제외할 수 있다. ‘Save Schema’를 통해 다양한 수사 항목에 적합한 키워드 목록을 저장할 수 있으며, 설정 화면은 [그림 4]과 같다.
작업이 종료되면 검색된 파일들 중에서 필요한 파일을 선택하여 보고서로 출력할 수 있다. 먼저, 좌측 Report 메뉴에서 Basic Information을 클릭하여 컴퓨터 사용자, 조사자 등 기본사항을 입력한다. [그림 5]은 실행 화면이다.
Final Report를 클릭하면 보고서가 출력되며, pdfㆍexcel 파일로 저장할 수 있으며, [그림 6]이 보고서 출력화면이다.
(2) Mac OS
FSMAC.app를 실행하며 더블 클릭하면 라이선스에 동의하면 [그림 7]와 같은 FieldSearch 실행화면이 나타난다.
좌측 상단의 Volume/Directory에서 대상을 체크하거나, ‘Browse’를 선택하여 대상 드라이브나 폴더를 지정하고 좌측 하단의 돋보기 모양의 아이콘을 선택하여 [그림 8]과 같이 Scan Option을 지정하고 화살표 아이콘을 클릭하여 검색을 시작한다.
검색 완료 후, 우측 상단의 ‘History’, ‘file Search’를 선택하면 [그림 9], [그림 10]와 같이 대상 컴퓨터에서 검색된 파일들을 확인할 수 있다.
검색된 파일 중에서 보고서에 포함할 파일들을 선정한 후, 상단의 ‘Report’를 실행하여 기본정보를 입력하고 보고서를 출력한다. 보고서는 pdf 파일, 검색 데이터는 csv 파일로 저장할 수 있다. [그림 11]는 보고서 출력화면이다.
도구 기능[편집]
FieldSearch의 세부 기능은 다음 [표 1]와 같다.
| 구 분 | 세부 항목 | 비고 | |
|---|---|---|---|
| Internet Browser History | Internet Explorer, Netscape, Firefox, Chrome, Opera | ||
| File Search | Graphic Image | JPG(JPEG), BMP, GIF, PNG, BAY, FLIC, PCX, PNM, RAS, RGV, TGA, TIFF, XPM 등 | 파일 헤더 확인 가능 |
| Media Files | AVI, MPEG-1/2, MPEG-4, HAV, OGV, WMV, CVR 등 | ||
| Keyword Search | html, htm, txt, dat, docx 등 | 파일 최대 크기 제한 가능 | |
| ZIP archives | 암호로 보호되지 않은 모든 ZIP 파일을 열어 검색 | 폴더 구조화 | |
| Registry | 사용자가 정의하거나 표준 레지스트리 검색 | ||
| MRU(Most Recently Used) Files | 레지스트리 내 최근 사용 목록 | ||
| Link Files | 모든 링크 파일 | ||
| Recycle Bin | 휴지통으로 삭제된 파일 | ||
| Final Report | 스캔한 파일들을 보고서로 출력 (PDF, XLS, RTF, ODT, ODS 등) | ||
| Evidence Zipping | 최종 보고서에 포함하기 위한 증거 압축 | ||
제한 사항[편집]
Windows 및 Mac os 환경에서 실행가능하나 현재 사용중인 Field Search v4는 2012년 4월에 개발된 것으로 근래에 업데이트 버전이 발표되지 않고 있다. 또한, 인터넷 브라우저 히스토리, 이미지ㆍ미디어ㆍ문서 파일, 최근 사용기록 및 레지스트리 검색 등의 기능만 보유하여 다른 상용 Triage 도구에 비해 기능이 제한적이다.
수사 활용 방안[편집]
FieldSearch는 Install이 필요 없이 도구를 실행할 수 있어 비전문가가 현장에서 신속하고 효율적으로 압수수색 대상 컴퓨터를 검색하여 증거를 수집하고 결과 보고서를 만들 수 있다. 인터넷 브라우저 히스토리, 이미지ㆍ미디어 파일 등으로 수집 항목이 특정되어 음란물 유포ㆍ소지 등과 관련된 범죄 현장에서 유용할 것으로 판단된다.
