Autopsy 설정
Case 생성하기
Autopsy를 실행하고 New Case를 클릭한다.
Case Name과 Case파일이 저장될 경로를 설정해 준다.
Case Number와 분석관 정보를 입력하면 된다. 선택사항으로 그냥 넘어가도 된다.
다음 역시 그냥 넘어가면 된다.
분석하려는 Data(연결된 기기 또는 이미지 파일)의 유형을 선택하면 된다.
분석하려는 이미지 파일과 시간대, 섹터 사이즈를 선택한다.
분석 옵션 설정
분석 모듈을 선택해야 한다. 상황마다 다르지만 보통은 저렇게 체크해 주면 된다.
각 항목의 의미는 다음과 같다.
- Recent Activity: 운영체제, 설치된 프로그램, 웹브라우저 등의 사용자 행위 분석
- Hash Lookup: 해시값 산출
- File Type Identification: 시그니처 분석을 통한 파일 확장자와 관계 파악
- Extension Mismatch Detector: 확장자 변조 분석
- Embedded File Extractor: 압축파일, MS-Office, 한글 파일 등의 내부 구조 분석
- Picture Analyzer: 사진 파일에 담긴 EXIF 정보 분석
- Keyword Search: 키워드 검색
- Email Parser: MBOX, EML, PST 등의 이메일 파일 분석
- Encryption Detection: 암호화 파일 분석
이외에도 효과적인 분석을 위한 추가적인 설정을 해주어야 한다.
File Type Mismatch Detector 설정
File Type Mismatch Detector를 클릭하고 다음과 같이 체크해 준다. 이후 Global Settings로 들어가 hwp 확장자를 추가해야 한다.
New Type을 클릭하고 Application/x-hwp-v5를 입력해 준다.
생성한 application/x-hwp-v5를 선택하고 New Extension을 클릭하여 hwp를 추가해 준다.
Keyword Search 설정
Keyword Search에서 Select Keyword lists to enable during ingest 항목을 모두 체크 해제해 준다.
Autopsy 사용법
설정이 끝나면 분석을 시작하면 된다. Autopsy 메인화면으로 진입하며 분석 진행사항은 우측 하단의 상태바에서 확인이 가능하다.
Autopsy UI
Autopsy UI는 크게 세 가지로 구분할 수 있다.
- Tree Viewer
- Result Viewer
- Content Viewer
Tree Viewer
Tree Viewer의 구조는 다음과 같다.
- Data Sources: 증거 매체 또는 이미지 내부의 폴더 구조
- File Views / Data Artifacts / Analysis Result / OS Accounts: 분석 결과를 항목별로 분류
- Tags: 분석관이 임의로 태깅한 항목
Result Viewer
Result Viewer에서는 Tree Viewer에서 선택한 특정 폴더나 항목에 해당하는 파일 등의 목록과 기본 정보를 확인할 수 있다.
Content Viewer
Content Viewer에서는 Result Viewer에서 선택한 특정 폴더나 파일의 정보를 각각의 탭에서 확인할 수 있다.
각 탭은 다음 기능을 한다.
- Hex: 16진수 값 확인
- Text: 문자열 만을 별도로 확인
- Application: 선택한 파일이 이미지, 동영상, 문서 등의 유형일 경우 미리 보기 형식으로 확인
- File Metadata: 파일에 대한 기본 정보 확인
- OS Account: 파일 또는 결과와 관련된 운영체제 계정 정보
- Data Artifacts: 운영체제 정보, USB 연결정보, 다운로드한 파일과 같이 선택한 항목과 관련된 아티팩트 표시
- Analysis Result: 분석 결과 표시
- Context: 파일의 출처에 대한 정보
- Annotations: 분석자가 주석을 남긴 경우 표시
분석 방법
확장자 변조 분석
확장자 변조가 의심되는 파일을 분류하여 보여주는 항목이다.
각 항목의 의미는 다음과 같다.
- Source Name: 파일명
- Extension: 파일의 확장자
- MIME TYPE: 시그니처 분석을 통해 알아낸 파일의 실제 유형
- File Path: 파일이 저장된 위치
Extension Mismatch Detected에 나오는 항목은 변조가 확실한 파일이 아닌 의심되는 파일이므로 정상적인 파일이 더 많이 나올 가능성이 높으며, 모든 파일을 확인하기에는 시간적 제약이 있기 때문에 우선순위에 의해서 탐색을 해야 한다. 비교적 잘 알려진 확장자 위주로 탐색하거나 파일명이 눈에 들어오는 파일 위주로 탐색하면 좋다.
삭제된 파일
해당 항목에서는 삭제된 파일을 확인할 수 있다.
암호화된 파일
해당 항목에서는 암호화된 파일을 확인할 수 있다. 증거 매체 내에 암호와 관련된 별도의 파일이 존재할 가능성이 있으므로 추출 후, 암호를 알 수 있는 힌트들을 종합하여 복호화를 시도해야 한다.
키워드 검색
증거매체 내에 존재하는 키워드를 파일명부터 파일의 내부 텍스트까지 검색하는 기능이다.
우측 상단의 Keword Search를 클릭하면 나오는 팝업창에서 키워드를 검색할 수 있다.
검색이 끝나면 Result Viewer에 검색결과 탭이 새로 생성되어 키워드가 포함된 파일들의 목록을 보여준다. 파일명, 파일의 위치, 키워드가 검색된 내용을 볼 수 있다.
파일 추출
특정 파일을 추출하기 위해서는 추출하고자 하는 파일을 선택 후 우클릭하여 Extract File(s)를 이용하여 추출할 수 있다.
