[Forensic] Autopsy 포렌식 도구 사용법 정리

1. 케이스 생성

케이스 정보 입력

조사관 정보

Data Source 추가

2. 프로세싱

- 프로세싱 모듈 선택

Recent Activity : 

Hash Lookup

File Type Identification

Extension Mismatch Detector

Embedded File Extractor

Picture Analyzer

Keyword Search

Email Parser

Encrpytion Detection

Interesting Files Identifier

Central Repository

PhotoRec Carver

Virtual Machine Extractor

Data Source Integrity

Drone Analyzer

Plaso

IOS Analyzer (iLEAPP)

Android Analyzer

GPX Parser

 

 

3. 파일시스템 분석 및 데이터 추출

 

Data Source : 드라이브 및 디렉터리 구조 확인

Views : 파일 확인 및 복구 (파일 유형 별 조회가 가능)

1) File Type : By Extension(확장자별) / Documents(알려진 문서 속성) / Excutable(실행파일) / By MIME Type (파일종류구분)

 

2) Deleted Files

 

Autopsy 에서는 파일카빙을 통해 비할당 영역에서의 파일복구를 지원한다. 만약, 삭제된 파일영역이 다른 데이터로 덮어씌워지지 않았다면 복구가 가능하다. 파일이 덮어씌웠는지 여부는 해당 파일의 Size를 보고 알 수 있다. Size가 0 일 경우 이미 해당 영역은 다른 데이터에 의해 덮어씌워진 것으로 복구가 불가능하다.

참고 : c0msherl0ck.github.io/mobile%20forensic/post-mobile-android-autopsy/

 

results :

 

 

 

4. 파일 확인 및 복구

 

* 참고할 개념 : 파일카빙

- 파일카빙(File Carving)이란? - metadata 보다는 파일 자체의 바이너리 데이터(content, signature, header, etc..)를 이용하여 디스크의 비할당영역에서 파일을 복구하는 방식을 카빙이라고 한다.

: 파일이 디스크에 분할되어 저장되어 있는 경우, 비연속적 카빙을 사용해야 한다.

: 연속적인 카빙과 비연속적인 카빙에 대한 차이는 파일이 저장될 때 분할이 되서 저장되는지 여부에 대한 차이이다.

: 시그니처 기반 카빙, 램 슬랙 카빙, 파일 구조체 카빙, 파일 크기 획득 방법 기반의 카빙, 파일 구조 검증 방법 기반의 카빙 등이 있다. (참고 : whitesnake1004.tistory.com/248)

 

5. 키워드 검색

 

 

6. 타임라인 분석

- 타임라인 분석을 통한 사용자 행위 추적

Timeline 클릭

Timeline 화면 확인

타임라인 화면을 보면 count 그래프의 색이 각각 빨강, 연두, 초록으로 구분되어 있으며, 이벤트 별로 색이 다르다.

빨강 : File 상태 변경 관련

연두 : Web History

초록 : Device Attached

 

또한 이벤트 개수가 5,000개를 넘어가면 이벤트 상세내용 확인이 불가능하여, 시간을 분단위로 재검색을 해보았다.

 

 

============================================================================Autopsy Basics and Hands On (8 Hours) 온라인 강의를 듣다가 정리해두면 좋을 것 같아 작성해보았다.

Autopsy가 Linux / OS X 도 지원하는지 이제야 알았다. 오픈소스도구라 부담 없이 사용해왔는데 리눅스도 지원한다니. 스터디 욕심이 생겨난다..! 오픈소스는 역시 단비 같은 존재.

더욱 발전?했으면 좋겠다. 

 

Autopsy Linux 설치 및 분석에 대하여 정리해보았다.

 

Autopsy 사이트에서 Linux installer인 zip file download 및 설치를 진행하였다.

# unzip autopsy-4.17.0.zip

 

설치폴더를 확인해 보니 실행 전 읽어야할 텍스트 파일이 보여 확인해보았다.

 

prerequisites. 전제조건이다.