Triage-Examiner
소개
Triage-Examiner는 ADF SOLUTIONS, INC.에서 개발한 상용 Triage 도구로서, Windows 및 Linux, Mac OS 환경에서 실행이 가능하다. 라이선스 인증키, 32GB USB 키, 부팅 CD 등으로 구성된 1개 kit의 가격은 1년 라이선스가 $1,448이고, 3년 라이선스가 $3,4,98(갱신 비용 : 1년 $1,199 / 3년 $2,999)이다. 현재 사용되는 최신 버전(v3.8.1.)은 2013년에 개발되었다.
알려진 아티팩트를 스캔하고, 활성화된 컴퓨터에서 램 덤프를 수행할 수 있는 시스템 캡쳐 기능을 제공한다. 세부적으로는 활성 및 비활성시스템 분석, 웹사이트 쿠키 목록 수집, 암호화된 드라이브 및 파티션 정보 수집, 설치된 응용 프로그램 목록 및 구글 맵 검색 기록 수집, 피지컬 메모리 덤프, 스크린 샷, OS 정보 및 사용자 정보 수집 기능 등이 있다.
또한, 수사관이 지정한 파일 특성, 키워드, 정규 표현식, MD5 해시, 그림파일 유사도 등을 이용한 검색이 가능하고, 그래픽ㆍ문서ㆍ이메일ㆍ 압축 파일의 파서 제공 및 비디오 파일 컨텐츠 분석을 지원하며, 수사관이 원하는 템플릿으로 CSV, HTML, MS 워드 형식의 보고서를 출력할 수 있다.
Triage-Examiner의 실행 화면은 [그림 1]과 같다.
사용법
Triage-Examiner를 사용하여 증거를 수집하는 단계는 Quick Setup과 Complete Setup의 2가지 방법이 있다. Quick Setup은 기존에 구성되어 있는 Search Profile에서 하나를 선택하여 스캔을 실행하는 것이고, Complete Setup은 수사관의 의도에 맞게 CapturePaks, SearchPaks에서 직접 검색 옵션을 지정하여 Search Profile을 구성한 후 스캔을 하는 것이다. Search Profile 구성이 완료되면 연결된 저장매체 중 하나를 선택하여 Triage key를 만든 후 스캔을 실시한다.
[그림 2]는 Quick Setup 화면, [그림 3]은 Complete Setup 화면이다. Complete Setup은 CapturePaks 선택 및 우선순위 결정, SearchPaks 선택, Search Profile 옵션 선택 및 저장, Prepare Triage key 등의 과정으로 구성되어 있다. 대상 컴퓨터의 전원이 꺼져 있을 경우, 부팅 USB 또는 CD를 이용하여 컴퓨터 전원을 켜고, Triage Key를 통해 프로그램을 실행한다. 대상 컴퓨터의 전원이 켜져 있는 경우, Triage Key를 연결한 후, Start.bat 파일을 더블클릭하여 프로그램을 실행한다. [그림 4]는 Triage-Examiner 실행 화면이다.
세부 옵션을 선택한 후, 스캔을 시작한다. 또한, [그림 5]와 같이 대상 컴퓨터의 각각의 드라이브를 지정하여 EWF(E01) 또는 DD 형식의 이미지 파일을 생성할 수도 있다. 각 옵션에 따라 Scan이 진행된다. [그림 6]은 대상 컴퓨터를 Scan하고 있는 화면이다. Scan이 완료되면 view 창을 활성화시켜 결과를 확인한다.
[그림 7]은 대상 컴퓨터 Scan 결과이다. 각 파일은 중요도에 따라 색을 구분하여 Tag를 표시할 수 있고, 찾고자 하는 파일을 검색 할 수도 있다. Scan 결과는 Triage Key에 저장된다. 결과 보고서가 저장된 Triage Key를 Triage-Examiner가 설치되어 있는 관리자 컴퓨터에 연결하고 프로그램을 실행한 후, 상단 메뉴 바의 ‘Scan Results’를 활성화하고, 저장된 파일 중 하나를 선택하여 ‘Open’을 클릭하면 파일 내용을 확인 및 편집할 수 있다. [그림 8]은 Scan Results 화면이다. ‘Create Report’를 클릭하여 Docx, HTML, CSV 파일 형식 중 하나를 선택하여 보고서로 저장할 수 있다. [그림 9]는 Docx 형식의 보고서 화면이다.
도구 기능
Triage-Examiner의 세부 수집 항목은 [표 1]과 같다.
| 구 분 | 세부 항목 | |
|---|---|---|
| CapturePaks | Clipboard Dump(Live Windows), Cookies 정보(MS Explorer, Mozilla/Firefox, Chrome, Opera, Apple Safari), Drive Encryption Status(BitLocker), 설치된 응용프로그램, Internet Browsing/Search History, Mapping Search History, 네트워크 정보, 스크린 샷, 시스템 정보, USB 장치 History, User Profiling, 방문한 웹사이트 기록 | |
| Physical Memory Dump | ||
| SearchPaks | Anti-Forensic Keyword Search | 암호화 및 완전삭제 도구 등 |
| Chat | Windows Live Messenger(Contacts, Saved Logs&Received Files), Yahoo Messenger( Chat Logs, Program Logs, Photoshare) | |
| Documents | 오피스, Passport Numbvers Regex | |
| Outlook(pst/ost files, Tempary Internt files), Windows Mail(Email, newsgroups, contacts) | ||
| P2P | Software Finder, Torrent Movies | |
| Pictures | Allocated Files Thorough, Browser Cache, thumbs.db, thumbcache, Exif data(camera 또는 phone) | |
| Windows Artefacts | Desktop Items, Link Files, Registry Files, Vist/Win7 Thumbcache Files, edb files | |
| Mac | Browser Artefacts, Skype Artefacts, Desktop Items, Apple Mail, 파일공유 및 클라우드, 운영시스템 Artefacts | |
| Video Files | ||
| IPOC Hashset, IPOC Keyword Search, IPOC Visual Search | ||
제한사항
Triage-Examiner는 관리자 컴퓨터에서 Triage Key를 만든 후에 대상 컴퓨터에 Triage Key와 동글(인증키)를 함께 연결해야 정상적으로 작동하는데, 대상 컴퓨터에서 Triage Key의 라이선스를 인식하지 못하는 경우가 자주 발생하며, 첫 스캔을 실행한 후 도구를 종료하였다가 동일한 컴퓨터에서 다시 도구를 실행하면 라이선스 파일을 검증할 수 없다. 또한, 대상 컴퓨터에서는 스캔 결과 보고서를 문서 파일로 추출 및 저장할 수 없고 관리자 컴퓨터에서만 가능하다.
수사 활용 방안
기존에 구성되어 있는 profile을 활용하여 현장에서 빠르고 효율적으로 대상 컴퓨터에서 증거를 수집할 수 있고, 대상 컴퓨터의 각 드라이브를 지정하여 EWF 또는 DD 형식의 이미지 파일을 생성할 수 있다. 또한, SearchPak 옵션 설정에서 File Collection, Keyword, Regular Expression, MD5 Hash Value, Image Signature 등 5가지 유형의 세부 필터를 수사관이 직접 지정하여 대상 컴퓨터를 스캔할 수 있으며, 수집된 파일은 view 창에서 중요도에 따라 색을 구분하여 Tag를 표시하거나 검색할 수 있어 수사관이 원하는 증거를 선별하여 수집ㆍ분석하는데 유용할 것이다.
하지만, 관리자 컴퓨터에서 Triage Key를 별도 생성하여 사용하는데, 수집 대상 컴퓨터에서 Triage Key의 라이선스 파일이 종종 인식되지 않고, 관리자 컴퓨터에서만 결과보고서를 추출ㆍ저장할 수 있는 점은 수사 활용 간 제약이 될 수 있다.
