본 게시글은 인프런의 '맥으로 배우는 윈도우즈 포렌식'을 참고하여 작성했습니다.
https://www.inflearn.com/course/forensic-2
맥으로 배우는 윈도우즈 포렌식 - 인프런 | 강의
유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다., 맥으로 배우는 윈도우즈 포렌식 안녕하세요. 도루묵입니다. 현업에서 도구 사용법도 중요하지만, 도
www.inflearn.com
1) Disk Aribitrator
소프트웨어 기반의 쓰기방지 장치이다. 기능으로는 Mount Block과 Read Only 기능이 있다.
https://github.com/aburgh/Disk-Arbitrator/releases
프로그램은 여기에서 다운로드 받아서 설치하면 된다.
사용하는 방법은 실행시킨 다음 연결된 외장디스크를 Unmount 하고 Read Only 모드를 선택 한 다음 Activate를 한다.
그리고 해당 볼륨을 Mount 시키면 쓰기방지기능이 활성화 된다.
2) FTK Imager
Window에서는 GUI 환경의 이미징 프로그램을 제공한다. 하지만 리눅스와 맥에서는 CLI 환경에서 이미징을 진행하며, 3.1.1 버전이 마지막 으로 업데이트 되지 않고 있다.
Mac OS 10.5 and 10.6x Version – 3.1.1
AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.
accessdata.com
다운로드를 받으면 Unix 실행파일 하나가 생기는데 따로 설치할 필요는 없다.
3) Autopsy
Autopsy는 대표적인 무료 통합 포렌식 도구이다. Windows, Mac, Linux에서 실행이 가능하다.
Mac에서는 설치하는 방법이 크게 2가지가 있다. 이 방법들에 따라서 Autopsy의 버전이 다르게 설치된다.
1번째 방법 - HomeBrew를 이용하여 설치하기
% brew install autopsy
HomeBrew를 이용하여 설치를 하게 될 경우 2.24버전이 설치된다.
2번째 방법에 비해 설치가 굉장히 간단하며 단 한줄의 명령어로 의존성이 있는 여러 패키지들을 한번에 설치한다.
사용법은 터미널을 열고 autopsy를 입력하면 아래와 같은 안내 문구가 나온다.
그 다음 인터넷 브라우저를 통해 주소창에 localhost:9999/autopsy 를 입력하면 인터넷에서 GUI환경으로 autopsy를 이용할 수 있다.
케이스의 저장경로는 /opt/homebrew/var/lib/autopsy 에 저장된다.
2번째 방법 - 공식홈페이지에서 zip파일을 다운로드 받아 설치하는 방법
https://www.autopsy.com/download/ 링크로 들어가서 autopsy zip파일을 다운로드를 받는다.
설치하는 방법은 1번째 방법에 비해 굉장히 까다롭고 절차가 많기 때문에 링크를 남긴다.
https://cybersocialhub.com/csh/installing-autopsy-on-macos-big-sur-arcpoint/
필자는 위의 경로대로 해보았으나 testdisk 패키지를 설치 함 에도 불구하고 autopsy 스크립트가 인식을 하지 못해서 아직 설치를 못하였다.
해결하신 분이 있다면 댓글에 남겨주시면 감사하겠습니다.
4) MD5,SHA-1
증거파일 들의 해시값을 추출하기 위한 도구들로 brew를 통해 간단하게 설치가 가능하다.
% brew install md5sha1sum
5) Fuzzy
MD5,SHA-1이 해시값을 추출하기 위한 도구였다면 Fuzzy는 ASCII 텍스트 파일을 사용하여 Fuzzy Hash를 기록하고, 파일 간 일치하는 내역이 존재하는지 비교하는 도구이다. 마찬가지로 brew를 통해 간단하게 설치가 가능하다.
% brew install ssdeep
6) Hex Editor
Hex Editor는 파일의 헥스값을 분석하기 위한 도구로 여러가지의 도구들이 GUI 환경에서 많이 사용된다.
무료프로그램 들은 Mac용 App Store에서 쉽게 구할 수 있고, 상용버전은 010 Editor를 추천한다.
010 Editor - https://www.sweetscape.com/010editor/
010 Editor - Pro Text/Hex Editor | Edit 200+ Formats | Fast & Powerful | Reverse Engineering
010 Editor: Pro Text Editor Edit text files, XML, HTML, Unicode and UTF-8 files, C/C++ source code, PHP, etc. Unlimited undo and powerful editing and scripting tools. Huge file support (50 GB+). Column mode editing. Analysis Tools - Drill into your Data A
www.sweetscape.com
010 Editor의 경우 처음 30일간 무료로 사용할 수 있고, 파일을 올리면 바로 자체적으로 분석한 결과를 보여주기 때문에 다른 도구보다 사용하기 편했다.
Hash 함수 등 여러 도구들의 사용법 들은 추후에 포스팅 하면서 게시를 하겠습니다.
이것으로 이번 포스팅을 마치겠습니다.
저도 '맥으로 배우는 윈도우즈 포렌식'을 참고하면서 여러번의 에러를 통해 설치를 했기 때문에 다른 에러가 발생 할 수도 있습니다.
부족한 부분이 있다면 댓글로 알려주시면 감사하겠습니다.
'Mac기반 포렌식' 카테고리의 다른 글
| M1맥으로 포렌식 준비하기(1) (2) | 2021.12.25 |
|---|