Forensic Explorer

Digital Forensic Wikipedia
Hoyong Choi (토론 | 기여)님의 2015년 1월 23일 (금) 00:12 판
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 가기 검색하러 가기

소개

[그림 1] Forensic Explorer 실행 화면

Forensic Explorer는 GetData 社에서 만든 통합 포렌식 도구이며 Windows 환경에서 실행 가능하다. 상용 소프트웨어로 공식홈페이지 기준 $1,247.95(약 124만원)에 구입 가능하다. 지원하는 대표적인 기능은 아래와 같다.

  • Customizable Interface
  • International Language Support
  • Complete Data Access
  • Fully Threaded Application
  • Multiple Core Processing
  • Powerful Pascal Scripting language
  • Data Views
  • Categorize and Custom Filter
  • RAID Support
  • Hashing
  • Keyword search
  • Keyword index
  • Bookmarks and Reporting
  • Data Recovery and Carving
  • File Signature Analysis
  • Registry analysis
  • Shadow Copy analysis


Forensic Explorer 의 실행화면은 [그림 1]과 같다.



사용법

[그림 2] 새로운 케이스 생성 설정
[그림 3] 수집 목록 추가 기능
[그림 4] 디바이스 추가
[그림 5] 아티팩트 수집 기능 설정 대화상자
[그림 6] 파일시스템 분석 화면

프로그램 실행 후 시작 화면에서 ‘New’ 버튼을 클릭하여 분석 케이스를 생성한다. 클릭 이후 설정 화면에서 케이스 이름, 조사관 정보를 추가할 수 있으며 조사관 정보는 해당 대화상자의 ‘New...’ 버튼을 클릭하여 조사관의 상세정보를 추가할 수 있다. 그리고 케이스 분석 시 데이터 메타데이터 해석에 적용할 기준 시를 지정할 수 있다. 설정 대화상자의 구성은 [그림 2]과 같다. 케이스 생성 후 수집 목록을 추가하기 위해 [그림 3]의 그림에서 ’Add device’ 와 ‘Add image’, ‘Add file’, ’Add group’을 실행한다. ’Add device’에서는 RAID드라이브와 Network 드라이브를 추가할 수 있다.

디바이스 추가 시 하드디스크 정보를 확인할 수 있으며 논리레벨이나 물리레벨로 추가한다. [그림 4]는 해당 디바이스를 물리레벨로 추가하는 그림이다.

디바이스 추가 후 아티팩트 수집을 위한 대화상자가 생성된다. [그림 5]과 같이 ‘Enabled’ 가 선택 된 기능을 수행하며 파일 해시, 메타데이터 해석, 시그니처 분석, 파일 카빙, 섬네일 분석을 할 수 있다.

아티팩트 수집 기능 설정이 끝나고 분석이 완료되면 [그림 6]과 같이 상단의 메뉴에서 분석결과를 확인할 수 있다. [그림 6]은 파일시스템을 분석하여 트리 형태로 출력하며 마름모꼴의 팔레트를 선택할 경우 해당 디렉터리의 모든 파일을 출력한다. 팔레트 옆의 체크 박스를 선택할 경우 해당 디렉터리의 모든 파일을 선택하는 기능이다. ‘File List’ 탭 에서는 개별 파일을 선택하며 파일의 메타데이터를 출력한다. 그리고 파일 내용을 Hex값으로 보거나 해당 파일의 속성을 확인한다.



도구 기능

지원 운영체제 및 사양

Forensic Explorer 는 Windows 환경에서 동작하며 GetData 社에서는 권장사양의 환경에서 구동할 것을 권고하고 있다. 지원 운영체제 및 하드웨어 요구 사항은 [표 1]과 같다.

[표 1] 지원 최소사양 및 권장사양
시스템 요구 사양
CPU Intel® Core i7 CPU(권장)
RAM 8 GB 이상 RAM (권장)
OS Windows XP, Windows 2003,
Windows Vista, Windows 2008,
Windows 7 (32-bit), Windows 7 (64-bit) (권장 운영체제)
Windows 8, Windows 8.1

케이스 생성

[그림 7] 새로운 케이스 생성 설정

시작 화면에서 ‘New’ 버튼을 클릭하여 분석 케이스를 생성한다. 클릭 이후 대화상자에서 케이스 이름, 조사관 정보를 추가할 수 있으며 조사관 정보는 해당 대화상자의 ‘New...’ 버튼을 클릭하여 조사관에 대한 정보를 추가할 수 있다. 그리고 케이스 분석 시 사용할 기준 시를 지정할 수 있다. 설정 대화상자의 구성은 [그림 7]과 같다.



이미지 파일, 조사 대상 디스크 추가

[그림 8] Add Device 실행 후 디스크 설정 화면

케이스 생성 후 증거 파일 추가를 위해 디스크 이미지 파일이나 물리디스크, 논리디스크 마운트를 할 수 있다. 또한 네트워크상에 존재하는 조사 시스템의 경우 네트워크 드라이브 형태로 IP와 포트를 입력하여 증거파일로 추가할 수 있다. [그림 8]은 ‘Add Device’를 선택하여 디스크를 불러오는 설정화면이며 이미지 파일의 경우 ‘Add Image’를 선택하여 이미지파일을 불러온 후 분석할 수 있다.



Evidence Processor

[그림 9] Evidence Processor 설정 화면

증거파일 추가 후 증거파일에서 수행할 분석 기능을 선택한다. 사용 가능한 기능 중에는 MBR 영역 검색이나 시그니처 분석, 증거파일 내 데이터 해시, 메타데이터 추출, 삭제된 파일 복구 기능이 있다. 기능 선택 후 [그림 9]와 같이 기준 시를 설정하여 분석될 데이터의 기준 시간을 설정할 수 있다.



File System 탭

[그림 10] File System 탭 출력 화면
[그림 11] Recover Folders 설정 화면
[그림 12] Signature Analysis 기능 설정 화면
[그림 13] File Carve 기능 설정 화면
[그림 14] Shadow Mount 기능 설정 화면

File System 탭은 추가한 증거 파일을 해석하여 트리 구조로 출력한다. [그림 10]은 File system 탭 내 출력되는 정보 패널들을 분류한 그림이다. [그림 10]의 ‘(1)’은 해석된 증거 파일을 ‘Folders’선택하여 트리 구조로 출력하거나 ‘Categories’를 선택하여 파일 형식 별로 출력할 수 있다. ‘(2)’는 선택된 디렉터리 내에서 출력되는 파일 목록이다. ‘(3)’은 파일을 선택하였을 때 나타나는 Hex정보와 메타데이터 정보를 확인할 수 있으며 메타데이터 정보로는 Hex값이나 텍스트 값, MFT엔트리와 같은 파일시스템 메타데이터 정보, 이미지의 경우 미리보기 정보를 출력한다. File System 탭 내에서 ‘Recover Folders’ 기능은 삭제된 폴더를 복구하는 기능이다. 복구를 수행할 파티션을 선택하여 폴더를 복구하며 복구 가능한 파티션은 [그림 11]와 같이 FAT, NTFS, exFAT, HFS 파일 시스템이다.
File System 탭 내에서 ‘Signature Analysis’ 기능은 알려진 파일들의 시그니처를 검색하여 미할당영역이나 확장자가 없는 파일에 대하여 사용자가 원하는 파일을 검색한다. 시그니처는 오피스파일이나 음악, 사진, 이메일, 윈도우 내 시스템 파일 등 다수를 지원하며 설정화면은 [그림 12]과 같다.
‘File Carve’ 기능은 삭제된 파일을 복구하는 기능이다. 폴더를 선택하여 하위 디렉터리 내 삭제된 파일을 복구하거나 미할당영역 전체를 복구할 수 있다. 복구 가능한 파일 형식은 폴더 복구와 동일하게 오피스파일이나 음악, 사진, 이메일, 윈도우 내 시스템 파일 등 다수를 지원하며 설정화면은 [그림 13]과 같다. File System 탭 내 “Shadow Mount” 기능은 복원 지점을 증거 파일로 마운트하는 기능으로써 원하는 마운트지점을 선택하여 분석할 수 있다. 마운트지점 선택 이후 [그림 14]와 같이 전체내용을 마운트하거나 복원지점과 조사대상을 비교하여 다른 파일들을 마운트하는 방식이 있다.
이 외에 지원하는 기능으로 iTunes 백업 탐지 및 분석 기능, PDF나 오피스파일과 같은 특정 파일 형식만을 Bookmark하는 기능이 있다. 또한 선별한 데이터들을 CSV파일로 추출 가능하다. 그리고 선택된 파일을 사용자가 입력한 해시와 비교하여 식별하는 기능을 제공한다.



Keyword Search 탭

[그림 15] Keyword Search 탭 출력 화면
[그림 16] Keyword 설정 화면

Keyword Search는 사용자가 원하는 키워드를 기준으로 파일시스템이나 선택한 디렉터리, 선택한 파일을 기준으로 검색한다. 키워드 출력은 [그림 15]과 같이 설정한 키워드에 따라 Keyword Result List‘ 탭에서 결과를 출력하고 출력된 결과는 Hex 값이나 텍스트 값, Display 뷰를 통해 해석할 수 있다.
키워드 검색 시 설정은 [그림 16]과 같이 일반 문자열이나 정규표현식을 사용할 수 있으며 언어 형식에 맞춰 검색할 수 있다.



Index Search 탭

[그림 17] Index 설정 화면
[그림 18] Index Search 결과 출력 화면

Index Search는 선택한 영역을 ‘dtSearch’ 기술을 사용하여 자체 데이터베이스에 저장한다. 따라서 다수의 파일에서 키워드를 빠르게 검색해야 하는 경우 인덱스 설정을 사용한다. 설정 가능한 영역은 파일 시스템이나 이메일 저장파일, 레지스트리 영역 내에서 선택한 폴더나 파일들을 기준설정이 가능하다. [그림 17]는 인덱스 설정 화면이다.



Bookmarks 탭

[그림 19] Bookmarks 출력 결과 화면

Bookmarks는 증거파일 분석 시 사용자가 임의로 설정해놓은 파일 목록들이 출력되는 편의기능이다. 앞서 File System 탭에서 북마크로 지정한 정보나 사용자가 직접 설정한 북마크 정보가 트리구조로 정렬된다. 북마크 정보는 추후 보고서 출력에서 활용 가능하다. 북마크 설정 시 결과 화면은 [그림 19]와 같다.



Scripts 탭

[그림 20] Scripts 수행 결과 화면

Script 탭에서는 Pascal 코드로 작성된 스크립트에 의해 분석을 수행하여 결과를 출력한다. 사용자가 Pascal 코드를 임의로 작성할 수 있으며 기본적으로 제공하는 스크립트는 Email, FileSystem, Registry, Phone, Bookmarks 등의 정보를 해석하는 스크립트를 제공한다. [그림 20]는 Registry 에서 사용자 정보를 해석한 스크립트 결과화면이며 팝업으로 출력된다.



Registry 탭

Registry 탭은 레지스트리 하이브 파일을 Windows 의 레지스트리 탐색기와 유사하게 트리구조로 출력한다. 또한 레지스트리에서 분석 시 도구에서 기본적으로 제공하는 분석기준을 통해 쉽게 정보를 수집할 수 있다. 제공되는 검색기준은 다음과 같다.

NTUSER Hive

  • Explorer Recent Docs MRU
  • Explorer Typed Paths
  • Internet Explorer Typed URLs
  • Last Visited
  • Open/Save
  • Printer Default
  • MS Office 2010 MRU
  • Windows Auto Run
  • Windows Run MRU
  • WinZip Extracted
  • Word Wheel (Win 7)


SYSTEM Hive

  • Computer Name
  • Current Control Set
  • Networks – All (XP and Vista)
  • Shutdown Time
  • TimeZone
  • USB Storage Devices


SOFRWARE Hive

  • Computer Descriptions
  • Default User Name
  • Email Clients
  • Email Default
  • IE Default Download Folder
  • Network Cards
  • Networks – Wireless (Win 7...)
  • Networks – All (Win 7...)
  • OS Install Date
  • Printers
  • Product Name and ID
  • Registered Owner\Organization
  • Uninstall Programs (metadata)
  • Uninstall Programs (list)


SAM Hive

  • Local Users
  • Local Users – Parse SAM


기본으로 제공되는 분석 기능을 사용한 결과는 팝업으로 출력되며 레지스트리 키 정보를 해석하여 식별 가능한 값으로 출력한다. 출력되는 정보는 레지스트리 키 위치, 키의 설명, 파일시스템 상의 위치가 기록된다. 시간 정보는 케이스 생성에서 설정한 기준 시로 해석된다. 출력 결과는 [그림 21]과 같다.

[그림 21] Registry 분석 결과 화면





Reports 탭

[그림 22] 기본으로 제공되는 Report 템플릿
[그림 23] Report 작성 시 내용 수정 화면

Reports 탭에서는 사용자가 분석한 결과를 보고서로 출력할 수 있다. 분석 시 설정한 북마크를 활용하여 보고서를 작성할 수 있다. Forensic Explorer 에는 사용자가 설정하지 않는 경우 [그림 22]과 같이 출력할 수 있다.
Report 작성 시 사용자가 직접 내용을 추가하여 작성할 수 있으며 기존의 템플릿을 수정하여 작성가능하다. [그림 23]에서 표시된 영역에 사용자가 직접 값을 입력할 수 있으며 워드프로그램 작성과 비슷한 인터페이스를 제공하여 쉽게 내용을 편집할 수 있다.



제한 사항

Forensic Explorer는 Windows 환경에서 구동되며 Quad-core 이상 8GB이상의 RAM을 권장사양으로 한다. 운영체제 지원은 Windows 7, Windows 8 운영체제만을 지원하며 현재까지 개발된 버전은 32비트 버전으로 개발되어 있으나 64비트 환경에서도 구동 가능하다. 또한 분석을 위한 스크립트를 지원하나 Pascal로 작성하여야하기 때문에 이를 위한 학습이 필요하다.



수사 활용방안

통합 포렌식 도구로써 운영체제 설치 드라이브 및 설치 이미지, 이동식 저장 매체를 분석을 지원하는 도구이며 기존에 널리 쓰이는 Encase나 FTK보다 저사양의 PC에서 실행 가능하며 직관적인 인터페이스를 제공한다는 점이 장점이다. 따라서 도구를 사용하는 조사관이 도구 사용 역량을 충분히 숙련하지 않아도 쉽게 사용할 것으로 예상되며 이를 통해 수사관의 도구 사용 능력에 따라 수사효율이 의존하는 상황이 줄어들 것으로 기대 된다.