IEF(Internet Evidence Finder)
소개[편집]
Magnet Forensics의 IEF는 컴퓨터, 스마트폰, 태블릿 등 디지털 기기에서 증거를 수집, 분석하기 위해 사용하는 상용 도구이다. 최신 버전은 6.4이다. 본 항에서는 최신버전인 6.4를 기반으로 보고서를 작성하였다.
IEF는 Internet Explorer, Chrome, Firefox, Opera, Safari 웹브라우저 사용 흔적과 소셜 네트워크, 웹 메일, 메신저, 클라우드 서비스, 검색 툴바 사용 흔적 등 다양한 인터넷 아티팩트 수집 기능을 제공한다. 또한 IEF는 Windows XP, Vista, 7, 8, 8.1, Mac OSX, iOS, Android, Kindle Fire처럼 다양한 운영체제에서 아티팩트 수집을 지원한다.
사용법[편집]
IEF를 실행하면 [그림 2]처럼 분석할 장치를 선택하는 화면이 나타난다. ‘DRIVES’는 현재 시스템에 마운트 된 드라이브를 선택할 수 있으며, ‘FILES & FOLDERS’는 분석할 특정 폴더나 파일을 지정할 수 있다. ‘IMAGES’를 선택하면 VMware 이미지나 dd 이미지에 대한 분석을 할 수 있으며 ‘VOLUME SHADOW COPIES’는 볼륨 섀도 복사본에 대한 분석을 한다.
드라이브 분석을 위해 ‘DRIVES’를 선택한 후 ‘Next’를 클릭하면 [그림 3]처럼 분석할 드라이브를 선택하는 화면이 나타난다. 복수의 드라이브 선택도 가능하다.
분석할 드라이브를 선택한 후 ‘Next’를 클릭하면 [그림 4]처럼 드라이브를 검색하는 방법을 지정할 수 있는 화면이 나타난다. 검색 방법은 ‘Full Search’, ‘Quick Search’, ‘Sector Level Search’, ‘Custom’이 있다.
검색 방법을 선택한 후 ‘Next’를 클릭하면 [그림 5]처럼 분석 대상을 추가할 수 있는 화면이 나타난다. 분석 대상이 두 개 이상이라면 처음과 마찬가지로 ‘DRIVES’, ‘FILES & FOLDERS’, ‘IMAGES’, ‘VOLUME SHADOW COPIES’ 중 분석하고자 하는 대상을 선택한다.
추가 분석 대상을 선택하고 ‘Next’를 클릭하면 [그림 6]처럼 분석할 아티팩트를 선택하는 화면이 나타난다.
분석할 아티팩트를 선택한 후 ‘Next’를 클릭하면 [그림 7]처럼 분석한 결과 파일을 저장하는 경로를 설정할 수 있는 화면이 나타난다.
폴더 저장 경로, 케이스 번호, 분석관 이름을 입력하고 ‘Next’를 클릭하면 [그림 8]와 같은 분석 진행화면과 [그림 9]와 같은 분석 결과 화면인 Report Viewer가 나타난다.
도구 기능[편집]
IEF가 각 브라우저별로 분석하는 아티팩트는 [표 1]과 같다.
| 브라우저 | 아티팩트 |
|---|---|
| Internet Explorer | Internet Explorer Cookie Records |
| Internet Explorer Downloads | |
| Internet Explorer Leak Records | |
| Internet Explorer PrivacIE Records | |
| Internet Explorer v7-10 InPrivate/Recovery URLs | |
| Internet Explorer Daily History | |
| Internet Explorer Weekly History | |
| Internet Explorer Main History | |
| Internet Explorer Typed URLs | |
| Internet Explorer Cookies | |
| Internet Explorer 10-11 Main History | |
| Internet Explorer 10-11 Daily/Weekly History | |
| Internet Explorer 10-11 Content | |
| Internet Explorer 10-11 Cookies | |
| Internet Explorer 10-11 Dependency Entries | |
| Internet Explorer 10-11 Downloads | |
| Chrome | Chrome Web History |
| Chrome Cache Records | |
| Chrome Bookmarks | |
| Chrome Autofill Profiles | |
| Chrome Autofill | |
| Chrome Archived Web History | |
| Chrome Top Sites | |
| Chrome Logins | |
| Chrome Last Tabs | |
| Chrome Last Session | |
| Chrome History Index | |
| Chrome FavIcons | |
| Chrome Downloads | |
| Chrome Current Tabs | |
| Chrome Current Session | |
| Chrome Saved Credit Cards | |
| Chrome Archived Keyword Search Terms | |
| Chrome Keyword Search Terms | |
| Chrome Carved Session/Tabs | |
| Chrome Carved Web History | |
| Firefox | Firefox Carved Web History |
| Firefox FormHistory | |
| Firefox Private Browsing History | |
| Firefox SessionStore Artifacts | |
| Firefox Carved places.sqlite History | |
| Firefox Carved formhistory.sqlite Artifacts | |
| Firefox sessionstore.js Artifacts | |
| Firefox Web History(non-carved) | |
| Firefox Web History | |
| Firefox FavIcons | |
| Firefox Input History | |
| Firefox Downloads | |
| Firefox Bookmarks | |
| Firefox Cache Records | |
| Firefox Cookies | |
| Opera | Opera Search Field History |
| Opera Typed History | |
| Opera Web History | |
| Opera Cache Records | |
| Opera Bookmarks | |
| Opera Autofill Profiles | |
| Opera Archived Web History | |
| Opera Top Sites | |
| Opera Logins | |
| Opera Last Tabs | |
| Opera Last Session | |
| Opera History Index | |
| Opera Downloads | |
| Opera Current Tabs | |
| Opera Current Session | |
| Opera Saved Credit Cards | |
| Opera Cookies | |
| Opera Archived Keyword Search Terms | |
| Opera Archived Search Terms | |
| Opera Carved Web History | |
| Safari | Safari History Carved |
| Safari Bookmarks | |
| Safari Cache Records | |
| Safari Downloads | |
| Safari Last Session | |
| Safari Top Sites | |
| Safari Web History | |
| 360 Safe Browser | 360 Safe Browser Web History |
| 360 Safe Browser Cache Records | |
| 360 Safe Browser Bookmarks | |
| 360 Safe Browser Autofill Profiles | |
| 360 Safe Browser Autofill | |
| 360 Safe Browser Archived Web History | |
| 360 Safe Browser Top Sites | |
| 360 Safe Browser Logins | |
| 360 Safe Browser Last Tabs | |
| 360 Safe Browser Last Session | |
| 360 Safe Browser History Index | |
| 360 Safe Browser FavIcons |
IEF는 분석한 모든 아티팩트에 대한 검색을 지원한다. Report Viewer 화면 상단에 있는 검색어 입력란에 [그림 10]처럼 입력을 하고 검색을 하면 [그림 11]처럼 검색 결과 화면이 나타난다.
‘Tools’ - ‘Search’를 클릭하거나 Ctrl + F를 누르면 좀 더 상세한 검색이 가능하다. [그림 12]처럼 정규 표현을 추가할 수 있으며 ‘Artifacts...’ 버튼으로 검색할 아티팩트를 일부만 선택 가능하다.
IEF는 분석 결과를 보고서로 출력해준다. ‘File’ - ‘Create Artifact Report’에서는 [그림 13]처럼 선택한 아티팩트를 csv, xls, html, pdf, xml로 저장할 수 있으며 ’All Artifacts’를 선택했을 경우 모든 아티팩트를 선택한 파일 포맷으로 출력한다.
‘File’ - ‘Create Case Report’를 클릭해서 케이스 내에 출력할 아티팩트를 선택하고 보고서를 생성하면 [그림 14]처럼 HTML 형식의 보고서가 만들어진다.
또한 IEF가 설치되지 않은 PC에서도 케이스를 열어볼 수 있도록 포터블 케이스 기능을 지원한다. ‘File’ - Create Portable Case’를 클릭하면 [그림 15]처럼 포터블 케이스를 만들 때 포함할 아티팩트와 케이스 생성 방식을 선택하는 창이 나타난다.
케이스 생성 방식 중 ‘Create portable case with a report viewer installer’는 Report Viewer 설치 파일과 함께 포터블 케이스를 생성하는 것이고, ‘Create standalone portable case without a report viewer installer’는 Report Viewer가 설치 없이도 실행되는 포터블 케이스를 생성하는 것이다.
IEF는 타임라인 기능을 지원한다. Report Viewer에서 ‘File’ - ‘Open IEF Timeline’을 클릭하면 [그림 16]처럼 타임라인 화면이 나타난다.
타임라인은 IEF 케이스 폴더, TNL 파일, log2timeline CSV 파일을 입력으로 받아서 [그림 17]처럼 타임라인을 출력한다.
제한사항[편집]
Chrome Bookmarks, Firefox SessionStore Artifacts 등의 항목에서는 한글을 제대로 출력하지 못한다. [그림 18]는 Chrome Bookmarks의 내용인데, 한글로 된 북마크 이름이 깨져서 보인다.
수사 활용 방안[편집]
IEF는 다양한 웹브라우저와 아티팩트를 분석하므로 검색 시간이 타 도구보다 오래 걸리는 단점이 있다. 그러나 카빙과 검색 기능이 뛰어나기 때문에 상세 분석을 요구하는 수사 시 활용될 수 있다.
