IRCR(Incident Response Collection Report)

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

IRCR(Incident Response Collection Report)는 mcleodjp에서 개발한 라이브 포렌식 도구이며, Windows 환경에서 실행 가능하다. IRCR은 source forge 홈페이지(http://sourceforge.net/projects/ircr/)에서 무료로 다운받아 사용 가능하며 2013년 4월 19일에 마지막 업데이트(v2.3)가 되었다.

사용법

IRCR.bat 배치 파일을 실행시키면 아래와 같은 화면이 출력된다. 도구를 사용하여 추출한 정보들을 저장할 경로를 입력한 후 이름을 입력하면 시스템 정보 수집이 진행된다. 기본 값은 D:\collections 폴더로 지정된다. 실행 화면은 아래 [그림 1]와 같다.


그림 1. IRCR 실행 화면





도구 기능

IRCR의 경우 README.txt 파일 안에 명시되어 있는 경로에 사용하고자 하는 툴을 다운받아서 추가해줘야 한다. IRCR에서 사용할 수 있는 도구들과 그 경로는 아래 [표 1]과 같다.


[표 1] IRCR에서 사용가능한 도구
구분 도구명
\IR\2k\IR\NT
at.exe
route.exe
tracert.exe
\IR\xp\IR\2k3
arp.exe
cmdxp.exe
doskey.exe
find.exe
ipconfig.exe
mem.exe
nbstst.exe
net.exe
route.exe
systeminfo.exe
tracert.exe
네트워크 정보
handle.exe
listdlls.exe
openports.exe
pslist.exe
tasklist.exe
tcpvcon.exe
로그온 정보
psloggedon.exe
logonsessions.exe
열린 파일 정보
openedfilesview.exe
psfile.exe
시스템 정보
ver.exe
uptime.exe
ipconfig.exe
promiscdetect.exe
비휘발성 시스템 정보
autorunsc.exe
gplist.exe
gpresult.exe
dd.exe
mmls.exe


위의 도구들 중 사용자가 필요한 도구들을 다운받아서 특정 폴더에 넣어주면 IRCR을 통해 .txt 형식의 파일을 추출할 수 있다.

제한사항

수집을 위한 도구들을 외부에서 추가적으로 받아서 README.txt에 명시해놓은 특정 폴더에 넣어놔야 원하는 정보 수집이 가능하다는 제한사항이 있다. 또한 윈도우7을 지원하지 않기 때문에 2k, 2k3, XP 운영체제에서만 정보 수집이 가능하다.


수사 활용 방안

국내에서 사용하는 운영체제 중 현재 가장 널리 사용되는 윈도우7에 대한 정보 수집이 불가능하다. 또한 설정 파일이 없기 때문에 환경에 따른 유동적인 정보 수집이 불가능하므로 수사 시 활용도가 매우 낮다.