본 게시글은 인프런의 '맥으로 배우는 윈도우즈 포렌식'을 참고하여 작성했습니다.
https://www.inflearn.com/course/forensic-2
맥으로 배우는 윈도우즈 포렌식 - 인프런 | 강의
유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다., 맥으로 배우는 윈도우즈 포렌식 안녕하세요. 도루묵입니다. 현업에서 도구 사용법도 중요하지만, 도
www.inflearn.com
1) HomeBrew 설치하기.
HomeBrew는 맥의 패키지 관리자 어플리케이션 이다. HomeBrew가 있으면 터미널 환경에서 동작하는 여러가지 프로그램들을 쉽게 설치할 수 있고 필요한 의존성 패키지 또한 자동으로 설치를 할 수 있게 도와준다.
1_step)
$ /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
위 명령어를 입력하고 엔터를 누르면 여러가지 도구들이 같이 설치가 된다.
다음에 진행해야 할 일은 brew의 경로를 등록하는 과정이 필요하다.
2_step)
Intel의 Homebrew는 /usr/local아래에 설치 되고, Apple Silicon(M1)의 Homebrew는 /opt/homebrew경로에 설치된다.
$ echo 'eval $(/opt/homebrew/bin/brew shellenv)' >> /Users/<사용중인 계정이름>/.zprofile
$ eval $(/opt/homebrew/bin/brew shellenv)
를 입력하면 m1용 brew의 경로를 추가한 것이다.
혹시 모르니 vi ~/.zshrc 를 입력하여 파일을 연뒤 맨 마지막 부분에
export "PATH=/opt/homebrew/bin:$PATH" 를 추가한다.
그리고 파일을 저장하고 나오기 위해서는 esc를 누른뒤 :wq를 입력하고 엔터를 누르면 된다.
설정을 적용하기 위해 source ~/.zshrc 를 쳐주면 homebrew설치는 끝난것 이다.
2) python3 설치하기
먼저 터미널을 열고 다음 명령어를 쳐준다.
% brew install python3
이러면 터미널에서 python3이 설치가 된다. 설치 후 바로 python --version을 치면 버전이 2.7이라고 나오게 되는데 이유는 맥에서 기본적으로 제공하는 버전이 2.7이고 우리가 설치한 파이썬은 /opt/homebrew/bin에 설치되기 때문이다.
% ln -s -f /usr/local/bin/<변경하고자 하는 파이썬버전> /usr/local/bin/python
을 입력하고 엔터를 친 뒤, 터미널을 종료하고 다시 오픈한다.
% python --version을 입력하여 변경하고자 하는 파이썬 버전이 나온다면 성공한 것이다.
3) pip3 설치하기
% curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py 명령어를 입력하여 get-pip.py를 다운받는다.
그 뒤 % python3 get-pip.py 를 입력하면 pip3이 설치된다.
4) MacFuse 설치하기
주의) 최신버전으로 설치를 진행할 경우 에러가 발생 할 수 있습니다.
+ M1맥의 OS버전이 Big Sur이어야 합니다.
https://github.com/osxfuse/osxfuse/releases 링크로 들어가서 Fuse 3.11.2의 dmg파일을 설치한다.
설치를 하기 전, 시동보안유틸리티에 접속하여 보안설정을 해 주어야하는데, 시동보안유틸리티에 접속하는 방법은 다음과 같다
1) 맥 종료
2) 맥 전원버튼 계속 누르고 있기 -> 시동옵션 로드중 이라는 문구가 뜰때까지
3) 옵션에 들어가기
4) 상단에서 시동보안유틸리티 접속하기
5) 완전보안에서 부분보안을 체크한 뒤, 나머지 2개의 항목도 허용해주기
6) 재시동
위의 과정을 거쳤다면 재시동해서 dmg파일을 설치 해준다.
설치과정에서 재시동을 해야할 경우도 발생한다.
설치가 완료되면 시스템 환경설정에서 macFuse 항목이 생긴것을 확인 할 수 있다.
5) Plaso 설치하기
https://github.com/log2timeline/plaso/releases 링크로 들어가서
plaso-최신버전.tar.gz 파일을 다운로드 받는다.
그 다음 아래의 명령어로 압축을 해제하고 설치한다.
1) mkdir /tmp
2) cd /tmp
3) tar zxf ~/Download/plaso-다운받은버전.tar.gz
4) xcode-select --install
5) sudo pip3 install virtualenv
6) mkdir ~/plaso_env
7) virtualenv -p python3 ~/plaso_env
8) source ~/plaso_env/bin/activate
9) cd /tmp/plaso-다운받은버전/
10) pip install -r requirements.txt
11) python setup.py build
12) python setup.py install
가상환경의 해제는 deactivate를 입력하면 된다.
6) Xmount 설치
주의) brew를 통해 설치하면 에러가 발생 할 수 있습니다.
https://www.pinguin.lu/xmount 링크로 들어가면 xmount 0.7.6.pkg 파일을 다운로드 받을 수 있다.
다운로드를 받은 후 설치를 진행한다.
설치가 완료되면 macFuse를 최신버전으로 업데이트 한다.
이것으로 이번 포스팅을 마치겠습니다.
저도 '맥으로 배우는 윈도우즈 포렌식'을 참고하면서 여러번의 에러를 통해 설치를 했기 때문에 다른 에러가 발생 할 수도 있습니다.
부족한 부분이 있다면 댓글로 알려주시면 감사하겠습니다.
'Mac기반 포렌식' 카테고리의 다른 글
| M1맥으로 포렌식 준비하기(2) (2) | 2021.12.27 |
|---|
