Helix

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

Helix는 e-fense에서 개발한 포렌식 Live CD/VM이다. 최신 업데이트는 2009년 12월 23일이며, 최신 버전은 Helix3 Pro이다. Windows, Mac OSX, Linux 운영체제 환경에서 사용 가능하다. Helix는 상용버전과 프리버전으로 나누어진다. 상용버전으로는 Helix3 Enterprise와 Helix3 Pro가, 프리버전으로는 Helix3가 있다.

Helix3 Enterprise는 통제 서버와 에이전트를 이용하여 사용자 PC에 대해 스크린 캡쳐, 키 로깅, 램 이미징, 하드디스크 이미징 등의 작업을 수행할 수 있는 솔루션이다.

Helix3는 2003년 11월 23일에 출시되어 여러 버전이 존재했지만 서드 파티 애플리케이션에 의존적이며, 시스템에 많은 흔적을 남기는 것 등의 단점이 있었다.

이와 같은 단점을 보완한 것이 Helix3 Pro로서, 크로스 플랫폼에 사용하기 쉬운 인터페이스를 제공하며 서드 파티 애플리케이션에 의존적이지 않다. Helix3 Pro는 GUI 환경에서 Acquisition & Analysis와 Cell Forensics, Other 카테고리로 분류하여, 도구를 제공한다. Helix3 Pro의 실행 화면은 [그림 1]과 같다.

[그림 1] Helix3 Pro 실행 화면
[그림 1] Helix3 Pro 실행 화면



사용법

Helix3 Pro는 별도의 로그인 과정 없이 부팅이 가능하다. Helix3 Pro는 Ubuntu 기반으로 제작되었으며 버전은 [그림 2]와 같이 Ubuntu 9.04이다.

[그림 2] Helix3 Pro 버전 확인
[그림 2] Helix3 Pro 버전 확인



도구 기능

Helix3 Pro가 내장하고 있는 포렌식 도구는 아래 [표 1]과 같다.

[표 1] Helix3 Pro 포렌식 도구 리스트
구분 도구명
통합 포렌식 도구오픈소스   Autopsy
저장장치 데이터 수집 도구   DC3DD
  EnCase Linen
  Aimage
  Helix3 Pro
  Helix3 Pro Receiver
메모리 분석 도구   volatility
데이터 복구 도구   Foremost
  Scalpel
모바일 분석 도구   BitPim
  gMobileMedia
  Moto4Lin
  Wammu
  Xgnokii
네트워크 분석 도구   ethtool
해시   GtkHash
암호화   TrueCrypt
  Cryptsetup
기타   Bless Hex Editor



제한사항

e-fense는 2009년 12월 이후로 Helix3 Pro에 대한 업데이트를 발표하지 않고 있기 때문에 Helix가 내장하고 있는 도구 대다수는 최신 버전이 아닌 구 버전이다. 특히 모바일 분석 도구는 피처폰은 분석할 수 있지만, 스마트폰은 분석하지 못한다.

수사 활용 방안

Helix3 Pro는 설치가 필요하지 않다는 점은 수사 시에 활용도가 높다. 그러나 타 포렌식 라이브 CD/VM 도구에 비해 도구의 수가 적고, 2009년 이후 업데이트가 되지 않았기 때문에 필요한 도구가 있을 때 일일이 설치와 업데이트를 해서 사용해야 한다는 제약이 크다.