TSK(The Sleuth Kit) 은 Brian Carrier가 File System Forensics을위해개발한도구이다. File System Forensics은 Forensics에서빠질수없는부분이며가장증거를잠재적으로많이가지고있는부분이기도하다. 현재 (

The Sleuth Kit (FileSystem Analysis Tools) 2012-05-19 MaJ3stY(http://maj3sty.tistory.com) 1

TSK(The Sleuth Kit) 은 Brian Carrier가 File System Forensics을위해개발한도구이다. File System Forensics은 Forensics에서빠질수없는부분이며가장증거를잠재적으로많이가지고있는부분이기도하다. 현재 (2012. 5, 3.2.3-Linux ver.) 총 28개의명령도구들을지원하며 Linux, OS X, Cygwin, FreeBSD, OpenBSD, Solaris에서동작이가능하며 Windows 버전또한존재해대부분 OS에서분석수행이가능하다. 또웹브라우저형태로 GUI를지원하여사용법을깊이알지못하더라도분석이가능하게끔 Autopsy라는도구를자체적으로지원한다. 해당도구들의라이선스는무료이어서누구나사용할수있고또 TSK Framework를누구든지 Plug-in을개발할수있게끔지원하고있다. 또최근에는 Big Data 의 Hadoop 기술과 TSK를접목시킨프로젝트를진행하고있어좀더발전되고획기적인분석환경제공을기대해볼만하다. [ 그림 1 - TSK 공식웹사이트 ] 해당문서에서는 TSK 에서지원하는각명령들에대한기본적인사용방법들을알아보고그에 대한응용방법에대해서알아볼것이다. 아래는 TSK 에서지원하는명령행도구들이며해 당문서에서앞으로소개할도구들목록이기도하다. blkcalc, blkcat, blkls, blkstat, diskstat, ffind, fls, fsstat, hfind, icat, ifind, ils, img_cat, img_stat, istat, jcat, jls, mactime, mmcat, mmls, mmstat, sigfind, sorter, srch_string, tsk_comparedir, tsk_gettimes, tsk_loaddb, tsk_recover 위도구들목록은알파벳순서로정렬되어있지만도구의대한설명들은아래와같은카테 고리별로나누어설명될것이다. 2

디스크 볼륨 파일시스템 ( 각파일시스템참조모델별로다시나뉨 ) 이미지파일 기타 자동화도구 - 설치 일단 TSK를사용하기위해서는아래주소에서자신의분석환경에맞는 TSK 버전을다운로드하여야한다. 다운로드주소 : http://sourceforge.net/projects/sleuthkit/files/sleuthkit/ [ 그림 2 - 다운로드 ] Windows : 압축해제후바로명령프롬포트를통해 bin 디렉토리에있는명령행 exe 도구들을사용하면된다. Linux : 압축을해제하고아래명령어를차례로입력하면된다. #./configure # make # make install 설치가제대로되었다면다음과같이설치진행마지막에다음과같이출력될것이다. [ 그림 3 - 설치디렉토리 ] 3

- 디스크 1. disk_stat 1) 사용형태 - disk_stat [-V] hd_device 2) 옵션설명 * -V : 해당도구버전출력 디스크분석을지원하는도구는 TSK에서 disk_stat 도구가디스크분석을지원한다. diskstat 도구는 ATA 하드디스크의 HPA(Host Protected Area) 1) 를탐색하는데탁월한기능을발휘하는도구이다. 또 disk_stat 도구는 HPA 영역탐색뿐만이아니라전체섹터의수와접근가능한섹터들을탐색하여출력해주는기능이있다. disk_stat 도구는아직까지는오직 Linux 버전에서만제공된다.( 부득이하게 HPA 영역이설정된샘플이미지를구하지못하여실제도구시연은건너띄기로하겠다.) HPA 영역이탐색되었다면 HPA 영역에접근을하여데이터를수집해야하는데일반적으로는당연히접근이어렵다. 이때 setmax 2) 도구를사용하여사용자가접근가능한최대섹터수를 HPA 마지막섹터수로설정해주고 dd를이용하여 dump를시도하면 HPA의데이터를수집할수있다. Example) # disk_stat /dev/hdb Maximum Disk Sector: 120103199 Maximum User Sector: 118006047 ** HPA Detected (Sectors 118006048-120103199) ** # setmax --max 120103200 /dev/hdb 또다른방법으로는 TSK에서예전에지원하던 disk_sreset 도구를이용하는것이다. 해당도구는휘발성으로 HPA영역을삭제해주는도구인데현재배포되는버전에는포함되어있지않고대신 hdparm 도구가이역할을대신하고있다.( 하지만 hdparm은이전디스크들을지원하지않아완벽하지않다. 그래서현재는사용되지않는다.) 하지만확인결과 SANS에서제공되고있는 Forensics Workstation인 SIFT에 disk_sreset이포함되어있었다. 1) http://maj3sty.tistory.com/864 참고 2) http://www.win.tue.nl/~aeb/linux/setmax.c 4

- 볼륨 TSK에서볼륨분석을지원하는명령행도구로 mmls, mmstat, mmcat 도구가있다. mmls 도구는파티션의비할당영역을포함한볼륨의전체레이아웃을출력해주는기능을지원한다. mmstat 도구는파티션의볼륨상세정보를분석하여출력해주는기능을지원한다. mmcat 도구는파티tus 볼륨에포함되어있는압축내용들은표준출력방향으로출력하여준다. 1. mmls 1) 사용형태 - mmls [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-BrvV] [-aamm] [-t vstype] image [images] 2) 옵션설명 * -t(vstype) : 볼륨형식, 만약지정을하지않을시자동으로검색한다. (1) dos (DOS Partition Table) (2) mac (MAC Partition Map) (3) bsd (BSD Disk Label) (4) sun (Sun Volume Table of Contents (Solaris)) (5) gpt (GUID Partition Table (EFI)) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -o(imgoffset) : 파티션의볼륨시작 Offset * -B : 길이를반올림하여출력 (byte) * -r : 주확장파티션분석 (DOS 파티션전용 ) * -v : 상세정보출력 * -V : 해당도구버전출력 * -a : 할당된볼륨만출력 * -A : 할당되지않은볼륨만출력 * -m : 볼륨메타데이터출력 * -M : 숨겨진메타데이터출력 * 참고 : -aamm 옵션들을사용하지않으면모든볼륨과메타데이터가출력된다. 5

[ 그림 4 - 기본사용법 ( 파티션타입자동검색기능사용 )] [ 그림 5 - 파티션타입지정및할당된볼륨만출력 ] * 참고 : Start, End, Length 는 Sector 단위이다. 6

2. mmstat 1) 사용형태 - mmstat [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-vv] [-t vstype] image [images] 2) 옵션설명 * -t(vstype) : 볼륨형식, 만약지정을하지않을시자동으로검색한다. (1) dos (DOS Partition Table) (2) mac (MAC Partition Map) (3) bsd (BSD Disk Label) (4) sun (Sun Volume Table of Contents (Solaris)) (5) gpt (GUID Partition Table (EFI)) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -o(imgoffset) : 파티션의볼륨시작 Offset * -v : 상세정보출력 * -V : 해당도구버전출력 mmls 도구에모두있는옵션들이다. 그렇기에사용법은 mmls 와동일하다. [ 그림 6 - 기본사용법 ( 파티션타입자동검색기능사용 )] [ 그림 6 - 볼륨상세정보출력 ] 7

3. mmcat 1) 사용형태 - [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-vv] [-t vstype] image [images] part_num 2) 옵션설명 * -t(vstype) : 볼륨형식, 만약지정을하지않을시자동으로검색한다. (1) dos (DOS Partition Table) (2) mac (MAC Partition Map) (3) bsd (BSD Disk Label) (4) sun (Sun Volume Table of Contents (Solaris)) (5) gpt (GUID Partition Table (EFI)) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -o(imgoffset) : 파티션의볼륨시작 Offset * -v : 상세정보출력 * -V : 해당도구버전출력 * part_num : mmls 도구에서출력된결과중파티션번호 part_num 옵션은설명그대로 mmls 도구에서출력된파티션볼륨들의번호를말한다. 예 를들어 [ 그림 4] 에서 1 번은 Apple_partition_map 을뜻하는것이다. 이를 mmcat 에지정해 주면해당볼륨의압축내용이화면에출력된다. [ 그림 7 - 기본사용법 ] [ 그림 8 - 출력결과를 xxd 로정리 ] [ 그림 8] 의방법말고도 > 을사용하여파일로저장한후 Hex Viewer 로봐도된다. 8

- 파일시스템 파일시스템참조모델에해당하는도구들은파일시스템계층을조사하는도구들로서 Brian Carrier은해당도구들을 Dan Farmer와 Wietse Venema에의해개발된 Coroner's Toolkit 을기반으로개발하였다고한다. 파일시스템은다섯가지의참조모델 3) 로나뉘고해당도구들또한이를기반으로나뉘게된다. 해당문서에서도이러한참조모델구분을따라각범주에해당하는도구들을각각분류하여설명할것이다. 현재파일시스템도구들이지원하는파일시스템목록은다음과같다. - NTFS, FAT(fat, fat12, fat16, fat32), EXT2/3, ISO9660(ISO9660 CD), HFS(HFS+), UFS1/2, RAW(Raw Data), SWAP(Swap Space) [ 파일시스템참조모델 ] 해당참조모델은파일시스템의전체적인레이아웃과정보들을설명하는데이터를일컫는다. 해당참조모델에속하는도구로는 fsstat 도구가있으며해당도구는파일시스템타입별로부트섹터, 슈퍼블록등의구조체를읽어그결과를사용자에게출력하여주는기능을지원한다. 1. fsstat 1) 사용형태 - fsstat [-tvv] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] image 2) 옵션설명 * -t: 파일시스템의타입을출력 * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) 3) 파일시스템, 내용, 메타데이터, 파일이름, 응용프로그램참조모델로나뉜다. 9

(11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 에러상세출력 * -V : 해당도구버전출력 [ 그림 9 - 기본사용법 ( 파일시스템타입자동검색기능사용 )] [ 그림 9] 에서보듯이파일시스템을지정해주지않으면도구가자동으로해당파일시스템 의시그니처를검사하여자동으로파일시스템타입을결정하여분석을수행한다. 10

[ 내용참조모델 ] 해당참조모델은파일과디렉토리에관련된참조모델로 blkcalc, blkcat, blkls, blkstat 도구들이해당참조모델에속한다. 모두 blk(block의약자 ) 로시작하는공통점이있어다른도구들보다외우기가조금더수월할것이다. 1. blkls 1) 사용형태 - blkls [-aaelvv] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] image [images] [start-stop] 2) 옵션설명 * -e : 파일시스템의메타데이터블록을포함한모든블록을표시 * -l : 데이터블록을목록화하여출력 * -a : 할당된블록만출력 * -A : 할당되지않은블록만출력 * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -s : 슬랙영역만출력 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 해당도구의주요기능은할당 / 비할당블록을분석하여출력하는것으로기본적으로옵션 11

이주어지지않는다면비할당영역을출력한다. 목록화를하게되면 alloc 부분에 "a" 또 는 "f" 가표시되는데 "a" 는할당을의미하고 "f" 는비할당을의미한다. [ 그림 10 - 비할당블록목록화 ] 기본적으로비할당영역 4) 을출력해주는것에는이유가있다. 포렌식을수행할때에할당된블록은사용중인파일이거나저장되어있는파일들이기때문에따로추출하여분석을할필요가없다. 또루트킷이나다른악성파일, 행위들은자신들을보호또는숨기기위하여비할당영역에자신들을위치시키거나중요한파일들을저장하여둔다. 그렇기에기본적으로비할당영역을분석하여출력시켜주는것이고또이를중점적으로조사관은분석을수행하여야한다. [ 그림 11 - 비할당영역저장 ] [ 그림 11] 은비할당영역을출력하는명령을실행한모습이다. [ 그림 12 - 추출된비할당영역 ] [ 그림 12] 와같은데이터를얻은상태에서분석을수행한다면숨겨져있는증거를조금더 많이찾을수있을것이다. 4) 데이터가할당되지않은영역을말한다. 하지만꼭할당되지않은영역만말하는것이아닌할당되었다가파일이삭제되어데이터는남아있되활용되지않는공간도뜻한다. 다음링크는비할당영역조사와그로인해얻어진증거물에대한판결을담은글이다. http://cyb3rcrim3.blogspot.com/2012/05/free-space-viruses-and-mens-rea.html 12

2. blkcalc 1) 사용형태 - blkcalc [-dsu unit_addr] [-vv] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] image [images] 2) 옵션설명 * -d : dd 이미지에서주어진주소출력 * -s : blkls -s 명령에서출력된슬랙 5) 영역주소출력 * -u : blkls 명령에서출력된비할당영역주소출력 * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 해당도구는추출한파일에서어떠한데이터를찾았는데실제이미지파일에서어떤위치에있는지알수없을때사용하는도구이다. 만약 blkls 도구로비할당영역들만다른파일로출력하여저장하였을시그다른파일의비할당영역위치와실제이미지파일에서그비할당영역위치는달라지게된다. 즉, 비할당영역을추출하여다른파일로저장하고그파일을분석하여증거를찾았는데그증거가실제이미지파일에서어떤클러스터나블록에위치하고있는지모를때해당도구를사용하는것이다. 5) 슬랙 (Slack) 영역이란, 물리적으로는존재하지만논리적으로는할당될수없는영역을말한다. 슬랙영역에는파일시스템슬랙, 램슬랙, 볼륨슬랙, 드라이브슬랙이있다. 13

[ 그림 13 - 비할당영역목록화 ] [ 그림 14 - 실제이미지파일에서의증거위치 ] [ 그림 13] 과 [ 그림 14] 는예를들어설명하기위해첨부한것으로만약비할당영역만을저장한파일의첫번째블록에서증거가발견되었을시해당증거가실제이미지파일에서는어디에위치하는지모르기때문에 blkcalc 도구를이용하여실제이미지파일에서조사관이찾은증거가어디있는지알아본것이다. [ 그림 14] 의결과를보면 1213 블록이라고출력되어있다. [ 그림 13] 에서보면해당블록 (1213) 은 "f" 로비할당영역이맞다. 즉, 해당증거는실제이미지파일에서 1213블록에위치하고있는것이다. 14

3. blkstat 1) 사용형태 - blkstat [-vv] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] image [images] addr 2) 옵션설명 * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 해당도구는옵션으로지정한블록의할당상태를출력하여주는기능을제공한다. * 참고 : EXT 나 UFS 는해당블록이위치한실린더그룹도출력하여준다. [ 그림 15 - 기본사용법 ] [ 그림 15] 의결과를보면 1248 블록은비할당상태이며실린더그룹 0 에위치하고있는 것을알수있다. 직관적으로출력되어분석하기가수월한것을느낄수있을것이다. 15

4. blkcat 1) 사용형태 - blkcat [-ahsvvw] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-u usize] image [images] unit_addr [num] 2) 옵션설명 * -a : ASCII 형태로출력 * -h : hexdump 형태로출력 * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -s : 블록의크기출력 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 * -w : html 형태로출력 * -u(usize) : 이미지파일에서의기본블록크기지정 * [num] : 출력때동시에출력할블록의개수 ( 기본 1) 16

해당도구는지정블록의데이터 ( 내용 ) 을출력해주는도구로 ASCII, Hexdump, html 형태로 출력이가능하다. [ 그림 16 - ASCII 형태로출력 ] [ 그림 17 - Hexdump 형태로출력 ] [ 그림 18 - html 형태로출력 ] 17

[ 메타데이터참조모델 ] 해당참조모델은파일이나디렉토리를설명하는데이터들이속하는참조모델로해당도구로는 icat, ifind, ils, istat 가있다. 전체적으로보았을때해당도구들은파일이나디렉토리에할당된블록들의크기등의정보를분석하여출력해준다. 해당참조모델들의도구들또한 i로시작하는특징이있어다른도구들과구별하기가수월할것이다. 1. istat 1) 사용형태 - istat [-B num] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-z zone] [-s seconds] [-vv] image inum 2) 옵션설명 * -B(num) : 블록포인터출력할때의개수 * -z(zone) : 물리적인지역의표준시간대 (ex. GMT) * -s(seconds) : 시스템의원래시간을지정 (second), 만약 100을지정하면 Adjusted 시간에 100을더한다. * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 * inum : 메타데이터 (inode, MFT 엔트리등 ) 의번호 18

해당도구는 inode 나 MFT 와같은메타데이터들을분석하여출력해주는기능을가진도 구로시간대와분석하고자하는메타데이터를지정하여분석할수있게옵션을지원한다. [ 그림 19 - 기본사용법 ] 기본적인사용법만으로도분석하고자하는메타데이터의정보를많이얻을수있다. * 참고 : ext4 파일시스템분석은정식적인옵션 (-f ext4) 으로지원하지않지만자동검색 기능을이용하면분석이가능하다.( 완벽하게지원은아직안된다.) [ 그림 20 - -s 옵션을사용한경우 ] [ 그림 20] 에서 -s 값을 1 을주었다. 결과를보면 Adjusted 시간에지정한 1 이더해져출력 된것을볼수있다. 19

2. ils 1) 사용형태 - ils [-emopvv] [-aallzz] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-s seconds] image [images] [inum[-end]] 2) 옵션설명 * -e : 모든 inode 출력 * -m : MAC 6) 시간형식으로출력 * -O : 할당되어있지않으면서링크되어있지않은 inode 출력 (UFS/ExtX 전용 ) * -p : 고아 inode 출력 * -s(seconds) : 시스템의원래시간을지정 (second), 만약 100을지정하면 Adjusted 시간에 100을더한다. * -a : 할당 inode 출력 * -A : 비할당 inode 출력 * -l : 링크되어있는 inode 출력 * -L : 링크되어있지않은 inode 출력 * -z : 사용중이지않은 inode 출력 * -Z : 사용중인 inode 출력 * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 6) MAC Time 이란, 수정 (M, Modify), 접근 (A, Access), 생성 (C, Create) 시간을뜻한다. 20

* -V : 해당도구버전출력 해당도구는 inode를목록화하여출력해주는도구로여러가지옵션을지원한다. -O 옵션은 -AL과동일한옵션인데옵션의사용방법을간단히하기위해만든것이다. 하지만제대로작동하지않는부분이있어잘사용하지않고 -o 옵션으로해당옵션기능을대신하거나 -AL을주로사용한다. [ 그림 21 - 기본사용법 ] ils 도 blkls 와동일하게비할당 inode 를기본적으로출력하여준다. 그이유는 blkls 도구에 서설명하였으므로넘어가겠다. [ 그림 22 - MAC 형식으로출력 ] MAC 시간형식으로출력하게되면 [ 그림 22] 에서보는것과같이 UID, GID, 권한등도같 이출력해주어분석하기한결수월하다. 21

3. ifind 1) 사용형태 - ifind [-alvv] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-d unit_addr] [-n file] [-p par_addr] [-z ZONE] image [images] 2) 옵션설명 * -a : 모든 inode 출력 ( 블록으로메타데이터를찾을경우에만해당 ) * -d(unit_addr) : 인자로주어진블록의메타데이터를출력 * -l : long형으로메타데이터번호를출력, -p, -n, -d 옵션이필히주어져야한다. * -n(file) : 인자로주어진파일이름의메타데이터를출력 * -p(par_addr) : 주어진메타데이터주소에서비할당 MFT 엔트리출력 (NTFS 전용 ) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 * -z(zone) : 물리적인지역의표준시간대 (ex. GMT), 만약 -l -p 옵션이주어지면자동적으로시간대를맞추어준다. 해당도구는주어진인자값에대한메타데이터를찾아주는기능을제공하는도구이다. [ 그림 23 - 주어진파일명의메타데이터검색결과 ] 22

4. icat 1) 사용형태 - icat [-hhsvv] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] image [images] inum[-typ[-id]] 2) 옵션설명 * -h : 스파스파일의빈공간을출력하지않는다. * -r : 삭제된파일복구 * -R : 삭제된파일을복구할때오류를제어한다. * -s : 파일끝에슬랙공간을출력 * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 해당도구는주어진메타데이터의주소를기반으로특정파일의내용을보여주는기능을제 공하는도구로삭제된파일을복구해주는기능을제공한다. [ 그림 24 - 기본사용법 ] 23

[ 파일이름참조모델 ] 해당참조모델은파일명과메타데이터주소만을데이터로갖는참조모델이다. 해당참조모델에속하는도구로는 ffind, fls 도구가있다. ffind 도구는간단히설명해서메타데이터에해당하는파일이름을분석하여출력해주는기능을가지고있고, fls 도구는지정된디렉토리의메타데이터주소를기반으로해당디렉토리에있는파일이름을출력하여준다. 1. ffind 1) 사용형태 - ffind [-aduvv] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] image [images] inode 2) 옵션설명 * -a : 모두출력 * -d : 삭제된엔트리만출력 * -u : 삭제되지않은엔트리만출력 * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 위에서도간단히소개했듯이해당도구는지정된메타데이터가어떤파일에해당하는지 분석하여그파일의이름을출력해주는도구이다. 24

[ 그림 25 - 기본사용법 ] 사용법은 [ 그림 25] 와같이간단하다. 기본적으로아무런옵션을주지않으면해당파일이 름을출력하고 -u 옵션이나 -d 옵션을적용하면해당파일의삭제여부를알수있다. [ 그림 26 - -u 옵션사용 ] -u 옵션은삭제되지않은엔트리만출력하는옵션이다. 그러므로 [ 그림 26] 결과를분석 하여보면 103817 엔트리는삭제되지않은엔트리이고 /bin 에할당되어있다는의미로볼 수있다. [ 그림 27 - -d 옵션사용 ] -d 옵션은삭제된엔트리만출력하는옵션이다. 결과를보니해당 inode에서파일이름을찾을수없다고나온다. 삭제된엔트리일경우해당파일의이름을출력하겠지만, 삭제되지않은엔트리이므로해당옵션을사용하였을때파일이름을찾을수없다고나오는것이다. 이렇게간단히옵션을사용해해당엔트리의삭제여부를확인할수있다. 25

2. fls 1) 사용형태 - fls [-addflpruvv] [-f fstype] [-i imgtype] [-b dev_sector_size] [-m dir/] [-o imgoffset] [-z ZONE] [-s seconds] image [images] [inode] 2) 옵션설명 * -a : "." 과 ".." 엔트리출력 * -d : 삭제된엔트리만출력 * -D : 디렉토리만출력 * -F : 파일만출력 * -l : 자세히출력 (ls -l과같은출력포맷 ) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -m : MAC 시간형식으로출력하며마운트포인트도포함하여출력 * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -p : 각파일의전체경로출력 * -r : 디렉토리항목의재귀적출력 * -u : 삭제되지않은엔트리만출력 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 * -z : 물리적인지역의표준시간대 (ex. GMT), -l 옵션과함께사용해야한다. * -s(seconds) : 시스템의원래시간을지정 (second), -l 과 -m 옵션을같이사용해야한다. 26

해당도구는지정된디렉토리의메타데이터주소를기반으로해당디렉토리에위치하고있 는파일들의이름을출력하여주는기능을제공한다. 만약메타데이터주소를지정해주지 않으면기본적으로루트디렉토리를분석한다. [ 그림 28 - 기본사용법 ] [ 그림 29 -.,.. 출력과 MAC 시간형식으로출력 ] 시간이총 3 가지가나오는데이는 MAC 순서이다. 쉘창으로는보기가힘드니따로저장해 서정렬을한후분석하길권장한다. 27

[ 애플리케이션참조모델 ] 해당참조모델은파일시스템의데이터를데이터로가지고있는참조모델이다. 해당참조모델에해당하는도구들은 jls, jcat 도구로 ext( 현재로선 ext3만지원 ) 파일시스템의저널링을위해존재한다. 간단히설명하면 jls 도구는저널의내용을출력하여주고, jcat 도구는특정블록내용을출력하여준다. 1. jls 1) 사용형태 - jls [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-vv] image [inode] 2) 옵션설명 * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 28

해당도구는다른도구들과다르게특별한옵션은존재하지않는다. 그러므로사용법또한 특별한형태는존재하지않는다. 파일만지정해주면도구가자동으로저널블록과그블록 에대한설명을출력하여준다. [ 그림 30 - 기본사용법 ] 29

2. jcat 1) 사용형태 - jcat [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-vv] image [images] [inode] blk 2) 옵션설명 * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 * blk : jls에서확인한저널블록 * inode : 저널이있는파일시스템의 inode 번호 해당도구도특징적인옵션은존재하지않는다. 아래처럼저널블록을지정해해당저널블 록의블록내용을출력하여볼수있다. 아래는 [ 그림 30] 에서확인하였던저널블록 2( 파 일시스템블록 5) 의내용을확인하는이미지이다. [ 그림 31 - 기본사용법 ] 30

- 이미지파일 지금까지봤던도구들은디스크장치와이미지파일모두도구인자값으로주어분석할수있었다. 하지만이미지파일카테고리에속하는도구들은이미지파일만인자로받아들인다. 해당카테고리의도구들은이미지파일의상태나내용을확인할수있게기능을제공하는도구들로 img_stat, img_cat 도구가해당카테고리에속해있다. 1. img_stat 1) 사용형태 - img_stat [-tvv] [-i imgtype] [-b dev_sector_size] image 2) 옵션설명 * -t : 타입만출력 (-i 옵션에서지원하는것을기준으로 ) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -v : 상세한표준에러출력 * -V : 해당도구버전출력 이미지, 즉디스크덤프파일의상태를출력해주는도구로다른도구들과는 -t 옵션이다 른것말고는특별한옵션이없다. [ 그림 32 - 기본사용법 ] [ 그림 33 - -t 옵션사용 ] -t 옵션은설명에서도보았듯이타입만을출력하는옵션이다. 인자로주어진.dd 파일의타 입이 raw 라고출력해주는것을 [ 그림 33] 에서볼수있다. 31

2. img_cat 1) 사용형태 - img_cat [-vv] [-i imgtype] [-b dev_sector_size] [-s start_sector] [-e stop_sector] image 2) 옵션설명 * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) (2) split (Split raw files) * -b(dev_sector_size) : 분석대상의섹터크기 (byte, 기본적으로 512byte로계산 ) * -s(start_sector) : 섹터의시작번호 * -e(stop_sector) : 섹터의마지막번호 * -v : 상세한표준에러출력 * -V : 해당도구버전출력 해당도구는이미지파일의내용을출력해주는도구로아무런옵션을지정하지않으면이미지의모든내용을출력하여준다.(Hex Viewer의기능과동일하다.) 하지만 -s 옵션과 -e 옵션을적용하면조사관이보고자하는섹터의내용만볼수있다. 옵션의인자로는섹터의번호를지정하면된다. [ 그림 34 - 섹터번호지정 ] 해당도구를사용한다면특정섹터의해쉬값을계산할수있을것이다. 32

- 기타 기타카테고리에속하는도구들은다른카테고리에속하기애매한도구들이속한카테고리로데이터재정렬, 해쉬값을이용한검색등의기능을제공하는도구들로이루어져있다. 도구들로는 hfind, mactime, sorter, sigfind가있다. 1. hfind 1) 사용형태 - hfind [-eqv] [-f lookup_file] [-i db_type] db_file [hashes] 2) 옵션설명 * -e : 확장모드를지정하는옵션으로파일이름외에추가정보가출력된다.( 모든해쉬 DB 유형에적용되지않음 ) * -q : 퀵모드를지정하는옵션으로, 검색결과를 0 또는 1로표시한다. * -V : 해당도구버전출력 * -f(lookup_file) : 한줄의하나의해쉬값을가지는파일을지정 * -i(db_type) : 주어진해쉬 DB 유형의 index 파일을생성 * db_file : 원래해쉬 DB 파일의위치 * [hashes] : 검색하려는해쉬값 ( 표준입력이달라진다.) 해당도구는해쉬 DB를기반으로찾고자하는해쉬값을입력해 DB에서찾고자하는해쉬값의평문을찾아주는도구이다. 해당도구를사용하기위해서는해당도구에서지원하는유형의해쉬 DB를가지고있어야한다.( 재귀적검색을사용해 grep보다빠르다.) 해당도구에서지원하는해쉬 DB 유형으로는 NSRL 7) 에서제공하는 nsrl-md5, nsrl-sha1, md5sum, hk 가있다. 다운로드주소는다음과같다. 단일파일 (2.1GB) : http://www.nsrl.nist.gov/rds/rds_2.36/rds_236_dvd.iso 분할파일 : http://www.nsrl.nist.gov/rds/rds_2.36/rds_236_a.iso http://www.nsrl.nist.gov/rds/rds_2.36/rds_236_b.iso http://www.nsrl.nist.gov/rds/rds_2.36/rds_236_c.iso http://www.nsrl.nist.gov/rds/rds_2.36/rds_236_d.iso 해당도구를사용하기위해서는다음과같은절차가필요하다. 7) NSRL 은 National Software Reference Library 의약자로 NIST( National Institute of Standards and Technology) 산하에서만든프로젝트로파일들의해쉬값을 DB 로만들어제공한다. Known-good-hash-set 과 known-bad-hash-set 으로나누어져있는데 know-good-hash-set 은정상적인파일들의해쉬값을정리해놓은 DB 로해당 DB 를기준으로검색하여검색결과가나오면검색한파일은정상파일로조사대상에서제외할수있다. 반대로 known-bad-hash-set 은정상적이지않은파일 ( 해킹툴등 ) 을해쉬로계산하여그값을정리해놓은 DB 로해당 DB 를기준으로검색하여검색결과가나오면정상적이지않은파일로간주하여해당파일을조사대상으로선정하여조사를수행하여야한다. 33

1. 먼저받은 iso 파일을아래와같이마운트한다. [ 그림 35 - iso 파일마운트 ] 2. 그후 iso 안에들어있는 zip 파일을로컬로복사한후압축을해제한다. [ 그림 36 - 압축해제 ] 3. 나누어져있는각파일을하나의파일로취합한다. [ 그림 37 - 하나의파일로취합 ] 4. 현재 (2012. 5) 는모두취합할경우 10GB 크기의 DB 가생성된다. [ 그림 38 - 모두취합한결과 ] 5. 이제 hfind 도구에서지원하는 DB 유형의인덱스파일을생성해주어야한다. [ 그림 39 - 인덱스파일생성 ( 시간이오래걸린다.)] 34

6. [ 그림 40] 처럼정상적으로인덱스파일이생성되었는지확인한다. [ 그림 40 - 인덱스파일확인 ] grep 과 hfind 의차이를알아보기위해 grep 을이용해임의의해쉬값을검색해보았다. [ 그림 41 - grep 을이용한검색 ] grep 을이용하면검색시간이평균적으로 136 초정도소요되고, 출력결과또한중복결과가 많고포맷자체도좋지못해분석에수월함을느끼기어렵다. [ 그림 42 - hfind 를이용한검색 ] 35

hfind 를사용했을시평균적으로 1 초의검색시간이소요되고출력결과또한간단하여분 석에수월함을느낄수있다. 파일의정상여부만알아보고자한다면 -q 옵션의퀵모드를 사용하는것이분석시간을단축하는데더도움이될것이다. [ 그림 43 - -q 옵션사용 ] 36

2. mactime 1) 사용형태 - mactime [-b body_file] [-p password_file] [-g group_file] [-i day hour idx_file] [-d] [-h] [-V] [-y] [-z TIME_ZONE] [DATE] 2) 옵션설명 * -b : 분석대상의파일지정, 지정하지않으면키보드로부터입력을받는다. * -d : 출력결과를, 로구분하여출력 * -h : 세션헤더정보출력 ( 표준시간대, 지정파일이름 ) * -i([day hour] file) : 시간이나날짜를세어파일로출력한다. * -g : 그룹파일위치지정, 지정하지않으면다른 GID를사용한다. * -p : 암호파일위치지정, 지정하지않으면다른 UID를사용한다. * -V : 상세한표준에러출력 * -y : (mm/dd/yyyy) 형식을 (yyyy/mm/dd) 형식으로바꾸어출력 * -m : 월의출력을숫자로바꾸어출력 * -z : 물리적인지역의표준시간대 (ex. GMT), -l 옵션과함께사용해야한다. * [DATE] : 출력하고자하는날짜지정 (YYYY-MM-DD 또는 YYYY-MM-DD YYYY-MM-DD로범위를지정 ) 해당도구는 fls 도구나 ils 도구의 -m 옵션을사용했을때출력되는결과물을분석하는 도구이다. fls 도구나 ils 도구의 -m 출력결과를파일로저장하여해당도구를이용해파일 을분석하면시간에관한구체적인사항들을정리할수있다. [ 그림 44 - fls -m 사용 ] 37

[ 그림 44] 를보면 Timeline 이직관적으로보이지않고출력결과자체도분석하기조금힘 들게출력되는것을볼수있다. 해당출력결과를파일로저장하여 mactime 도구를사용 하면다음과같은출력결과를얻을수있다. [ 그림 45 - 기본사용법 ] 왼쪽부터차례대로의미하는바를정리하여보면다음과같다. Date Size Timeline 의의미 File System m a c b Ext2/3 Modified Accessed Changed N/A FAT Written Accessed N/A Created NTFS File Modified Accessed MFT Modified Created UFS Modified Accessed Changed N/A Unix Permissions User ID Group ID Inode File Name * 참고 : Date 가없는파일들이있다. 이파일들은바로위에출력된 Date 와동일하기때 문에출력되지않은것이다. -i 옵션을사용했을경우각동일한 Date 의개수를세어지정한파일로출력한다. [ 그림 46 - -i 옵션사용 ] 38

1.txt 로 hour 를기준으로개수를세어저장하라 [ 그림 46] 에서지정했는데 1.txt 파일을보 면 [ 그림 47] 과같이각 Date 를 hour 기준으로개수가세어저장한것을볼수있다. [ 그림 47 - 저장결과물 ] 39

3. sorter 1) 사용형태 - sorter [-b size] [-E] [-e] [-h] [-l] [-md5] [-s] [-sha1] [-U] [-v] [-V] [-a hash_alert] [-c config] [-C config] [-d dir] [-m mnt] [-n nsrl_db] [-x hash_exclude] [-o imgoffset] [-f fstype] [-i imgtype] image [images] [dir_meta_addr] 2) 옵션설명 * -b(size) : 최소크기지정, 지정한크기보다작은파일들은출력결과에서제외 * -E : 전용카테고리인덱싱수행 * -e : 카테고리인덱스파일을제외한확장검사수행 * -h : HTML 포맷으로출력 * -l : 인덱스목록을표준출력으로출력 * -md5 : 인덱스출력결과물의 md5 값도함께출력 * -s : -d 옵션에의해지정된디렉토리에카테고리별파일저장 * -sha1 : 인덱스출력결과물의 sha1 값도함께출력 * -U : 알수없는형식의파일은저장하지않음 * -v : 자세한디버깅메시지출력 * -V : 해당도구버전출력 * -a(hash_alert) : known-bad-hash set을지정하여해당 DB와매칭된결과가있다면해당파일을특별히격리조치 * -c(config) : 추가적인구성파일을지정 * -C(config) : 전용구성파일을지정, 파일위치는 /usr/local/share/tsk3/sorter * -d(dir) : 분류된인덱스파일들을저장할디렉토리지정 * -f(fstype) : 파일시스템의유형 ( 아래는지원되는형식이다.) (1) ntfs (NTFS) (2) fat (FAT (Auto Detection)) (3) ext (ExtX (Auto Detection)) (4) iso9660 (ISO9660 CD) (5) hfs (HFS+) (6) ufs (UFS (Auto Detection)) (7) raw (Raw Data) (8) swap (Swap Space) (9) fat12 (FAT12) (10) fat16 (FAT16) (11) fat32 (FAT32) (12) ext2 (Ext2) (13) ext3 (Ext3) (14) ufs1 (UFS1) (15) ufs2 (UFS2) * -i(imgtype) : 이미지덤프파일의형식 ( 아래는지원되는형식이다.) (1) raw (Single raw file (dd)) 40

(2) split (Split raw files) * -o(imgoffset) : 이미지에서파일시스템이시작하는섹터의오프셋 * -m(mnt) : 이미지의마운트포인트 * -n(nsrl_db) : NIST(NSRL) 의해쉬 DB 파일지정 (NSRLFile.txt) * -x(hash_exclude) : 지정된해쉬 DB의해쉬값을무시 * dir_meta_addr : 분류를시작할디렉토리주소지정 (default "/") * image : 분석대상이미지 해당도구는지정하는분석대상에서 "file" 명령을기준으로파일을분류하는기능을제공하는도구이다. TSK에서제공하는구성파일들을이용해파일들을분류할수있고또 NSRL 해쉬 DB를이용해파일시스템에존재하는파일의좋고나쁨을가려분류할수도있다. [ 그림 48 - 기본사용법 ] 지정한디렉토리로가보면여러가지텍스트파일 (All) 들이생성되어있고그내용들을보면 각텍스트파일이름에걸맞는내용들이저장되어있다. [ 그림 49 - 생성파일목록 ] [ 그림 50 - 생성파일내용 ] [ 그림 51] 은전용구성파일을이용해원하는종류의파일만분류한예시이다. 41

[ 그림 51 - 전용구성파일사용 ] [ 그림 52 - 생성파일목록 ] [ 그림 53 - 생성파일내용 ] 해당도구를이용하면숨겨진파일을확인할수도있기때문에파일카빙작업을조금더수월하게할수있다. 하지만모든파일을정확하게분류하고찾아내는것은아니기때문에해당도구로작업을수행한뒤조금더정확한방법으로파일시스템을분석해증거를찾아내야할것이다. 42

4. sigfind 1) 사용형태 - sigfind [-b bsize] [-o offset] [-t template] [-lv] [hex_signature] file 2) 옵션설명 * -b(bsize) : 블록사이즈지정 ( 기본 512byte) * -o(offset) : 시그니처가존재하는블록의오프셋지정 ( 기본 0) * -l : hex 시그니처를 Little Endian으로지정 * -V : 해당도구버전출력 * -t(template) : 분석대상의구조지정 ( 아래는지원되는형식이다.) (1) dospart (2) fat (3) ext2 (4) ext3 (5) hfs (6) hfs+ (7) ntfs (8) ufs1 (9) ufs2 해당도구는지정한대상에서시그니처를기반으로파일을검색하여그위치를출력해주 는도구이다. 사용법은간단하다. 찾고자하는파일의시그니처를인자값으로도구에지정 해주면된다. [ 그림 54 - 기본사용법 (jpg 파일검색 )] 43

- 자동화도구 TSK에서는총 4개의자동화도구를제공한다. 이도구들은분석을위한것이라기보다는분석과정을조금더수월하게하기위한도구라고생각하면된다. 해당카테고리에는 tsk_comparedir, tsk_gettimes, tsk_loaddb, tsk_recover의도구가속하며각도구에여러가지옵션이존재하지만사용법자체는간단하다. 그렇기때문에지면을아끼기위하여각도구들의옵션설명은생략하도록하고각도구들이어떤기능을가지고있는지만언급하도록하겠다. tsk_comparedir - 해당도구는이미지 ( 장치 ) 와로컬디렉토리를비교하는도구이다. 이러한기능을수행함으로써숨겨져있는파일이나루트킷을찾을수있다. - 기본사용형태 : tsk_comparedir [ 이미지또는장치 ] [ 비교할디렉토리 ] tsk_gettimes - 해당도구는이미지 ( 장치 ) 에서메타데이터파일들을출력한다. 이출력결과는 fls -m 또는 ils -m와동일하며 mactime 도구의 body.txt로쓰일수있다. - 기본사용형태 : tsk_gettimes [ 이미지또는장치 ] tsk_loaddb - 해당도구는이미지 ( 장치 ) 를분석하여그분석한결과를 SQLite 형식의파일로저장한다. 이렇게저장된파일은 SQLite Browser 등으로볼수있다. - 기본사용형태 : tsk_loaddb [ 이미지또는장치 ] tsk_recover - 해당도구는이미지 ( 장치 ) 의비할당영역을기본으로삼아지워진파일을복구하여지정된디렉토리에저장한다. 물론옵션으로할당영역의삭제된파일복구기능도제공한다. - 기본사용형태 : tsk_recover [ 이미지또는장치 ] [ 복구된파일저장디렉토리 ] 44

- 부록 (Autopsy) Autopsy 8) 는 TSK 도구를웹브라우저에서쉽게사용할수있도록제공되는 GUI 환경으로 TSK를이용할때보다조금더분석이쉽다는장점이있다. Autopsy를사용하기위해서는설치를해야하며설치하기전 TSK 도구들을우선적으로설치해주어야한다. Autopsy는 TSK 도구들을기반으로동작하기때문이다. Autopsy도 windows 버전과 Linux 버전으로나누어져있다. 제목을보면알겠지만부록이기때문에자세한기능설명은제외하도록하겠다. 굳이설명하지않아도직관적으로알수있는인터페이스이며또그기능은 TSK를기반으로하기때문에별다른것은없기때문이다. 설치와분석을위한절차설명정도만하도록하겠다. [ 설치 9) 및실행 ] Autopsy 다운로드사이트를접속하여자신이설치하고자하는컴퓨터 OS에맞는버전을다운받는다. 다운로드주소 : http://sourceforge.net/projects/autopsy/files/autopsy/ [ 그림 55 - 다운로드 ] 다운로드를하였다면해당파일을압축해제하여주고압축해제된해당도구의디렉토리 로이동해아래와같이설치를시작한다. 8) 해당도구는 Live-CD 로도제작이가능하다. 9) Linux 버전으로설치 45

# make Autopsy Forensic Browser Installation -------------------------------------------------------------- grep found: /usr/bin/grep file found: /usr/bin/file md5 found: /usr/bin/md5sum sha1 found: /usr/bin/sha1sum --------------------------------------------------------------- Searching for Sleuth Kit Installation. Found in: /usr/local/bin/ Version 3.2.3 found Required version found --------------------------------------------------------------- The NIST National Software Reference Library (NSRL) contains hash values of known good and bad files. http://www.nsrl.nist.gov Have you purchased or downloaded a copy of the NSRL (y/n) [n] y 위박스의마지막줄을보면 NSRL 해쉬 set 이있냐고물어보는데만약있다면 y 를입력하 고 NSRL 파일이존재하는디렉토리의절대경로를입력해주면된다. Enter a new directory (or cancel to stop): /home/administrator/nsrl/ NSRL database was found (NSRLFile.txt) NSRL Index file found (NSRLFile.txt-md5.idx) 위과정다음으로는분석 Case 를저장할디렉토리지정질문이나온다. 디렉토리지정이 끝나면설치가완료된다. Autopsy saves configuration files, audit logs, and output to the Evidence Locker directory. Enter the directory that you want to use for the Evidence Locker: /home/administrator/evi/ /home/administrator/evi/ already exists perl found: /usr/bin/perl (version 5.010001) --------------------------------------------------------------- Execute the './autopsy' command to start with default settings. 46

Autopsy 도구의실행은./autopsy 명령으로실행가능하다. 실행되면접속주소를알려주 는데해당주소를브라우저에입력하면다음과같이 autopsy 의초기화면이나타난다. [ 그림 56 - autopsy 메인화면 ] 메인화면에는 3 개의버튼이존재하는데각버튼의의미는다음과같다. Open Case : 기존에만들어두었던분석 Case 를불러온다. New Case : 새로운분석 Case 를만든다. HELP : 해당도구를사용할때알아두어야할점들이수록되어있는도움말이다. 47

[ 새로운 Case 생성 ] autopsy 는분석을수행하려면사건 Case 를만들어야한다. 먼저메인화면의 "New Case" 을클릭하면 [ 그림 57] 과같은화면으로이동한다. [ 그림 57 - Case 생성화면 10) ] Case Name : 사건 Case 의이름을의미한다. 사건 Case 는파일로생성되는것이 아닌디렉토리로생성되기때문에디렉토리이름규칙에맞추어작성 하여야한다. Description : 해당사건 Case 의대한설명을의미한다. Investigator Names 11) : 해당사건 Case 를분석하는조사관들의명단을의미한다. 모든항목을입력하였다면아래에있는 New Case 버튼을눌러사건 Case 를생성한다. 버튼을누르면다음과같이 Case 파일이어디에생성되었는지알려준다. 10) Case 이름을제외한모든항목은필수항목이아니다. 11) Investigator Names 항목은조사과정의신뢰성을입증하는데사용된다. 그러므로허위로작성해서는안된다. 48

Creating Case: Test Case directory (/home/administrator/evi/test/) created Configuration file (/home/administrator/evi/test/case.aut) created We must now create a host for this case. Case 생성을확인하였다면다시메인화면으로돌아와 "Open Case" 버튼을누른다. 누르면우리가생성한 Case 가보이는데 Ok" 버튼을눌러조금더세밀한설정을해주어야 한다. [ 그림 58 - Open Case] "Ok" 버튼을눌러다음화면으로넘어가게되면 [ 그림 59] 와같이 Case 의 Host 를설정하 라고나올것이다. ADD HOST' 버튼을눌러 HOST 생성페이지로넘어가자. HOST 페이 지는 [ 그림 59] 와같다. 49

[ 그림 59 - HOST 생성 12) ] Host Name : 분석대상컴퓨터의호스트이름을의미한다. Description : 분석대상컴퓨터의설명을의미한다. Time Zone : 표준시간대를의미한다. 설정하지않을시기본값으로설정된다. Timeskew Adjustment : 표준시간대에서해당분석컴퓨터의시간이얼마나벗어났는 가를지정해주는필드로 10 초정도벗어났다면 10 을입력하 여준다. 그러면 -10 으로계산이된다. Path of Alert Hash Database : known-bad-hash set 절대경로를지정한다. Path of Ignore Hash Database : known-good-hash set 절대경로를지정한다. 입력해야할항목들을모두입력하고 ADD HOST 버튼을누르면다음과같이호스트가 생성된디렉토리를알려준다. 12) 호스트이름을제외한모든항목은필수항목이아니다. 50

Adding host: Testcom to case Test Host Directory (/home/administrator/evi/test/testcom/) created Configuration file (/home/administrator/evi/test/testcom/host.aut) created We must now import an image file for this host 위문구들바로밑에는 "ADD Image" 버튼이존재하는데이버튼은분석대상의이미지파 일을추가하는기능의버튼으로당연히눌러주어야한다. [ 그림 60 - 이미지파일추가 ] ADD Image File" 버튼을누르고파일추가과정 ( 두번의과정 ) 을진행하면이미지파일추 가가완료된다. [ 그림 61 - 파일추가첫번째단계 ] Location : 이미지파일이위치하고있는디렉토리의절대주소를의미한다. 만약분석 대상이미지가 EnCase 에서생성된이미지라면이미지파일지정시 imagename.* 형식으로입력한다. 51

Type : 이미지파일이어떤것의이미지인지를선택하는필드로디스크이미지라면 Disk 라디오버튼을, 파일시스템이라면 Partition 라디오버튼을클릭하면된다. Import Method : 이미지파일을 Case 디렉토리가위치한곳으로가져오는방법에대해서선택하는필드이다. Symlink를심볼릭링크를이용하는것이고, Copy는복사, Move는잘라내어파일을가져오는것을의미한다. [ 그림 61 - 파일추가두번째단계 ] 두번째단계는이미지파일의상세설정과파일시스템의상세설정부분으로나뉘는데이미지파일의상세설정은이미지파일의무결성검증을위한 md5 해쉬에대한설정이고파일시스템상세설정은분석이미지의파일시스템종류에대한설정이다. 자세한설명이필요없는부분으로판단되어넘어가도록하겠다. 모든과정이끝나고 Ok" 버튼을누르면모든분석환경설정이끝이난다. 그후 [ 그림 62] 와같은화면으로이동하게되는데여기서 "ANALYZE" 버튼을눌러이미지파일분석을 시작하면된다. [ 그림 62 - 분석환경설정완료및분석시작전 ] 52

[ 분석 ] 분석화면으로넘어오게되면 [ 그림 63] 과같은초기화면이보이게된다. [ 그림 63 - 분석초기화면 ] File Analysis : 파일시스템분석을수행하는 Tab 으로계층적인구조로파일과디렉토리 를나열하여직관적으로분석할수있게끔환경을제공한다. [ 그림 64 - File Anaysis] Keyword Search : 할당영역과비할당영역을포함한모든영역을대상으로특정키워드를검색할수있도록기능을제공하는 Tab이다. 찾고자하는파일이어떤파일인지알고특정단어를알고있다면찾고자하는파일을금방찾을수있을것이다. 53

[ 그림 65 - Keyword Search] [ 그림 66 - Keyword Search 결과 ] 54

File Type : 파일타입별로정돈하는기능을제공하는 Tab 으로 TSK 의 sorter 도구와 동일한기능을제공한다. 해쉬 set 을이용하여조금더세밀하게파일을 분류하여분석할수있도록도와준다. [ 그림 67 - File Type(Sort File by Type)] [ 그림 68 - File Type(Sort File by Type) 결과 ] 55

Image Details : 현재분석하는이미지파일의상세정보를출력하는 Tab 이다. 이 정보는크게파일시스템정보, 메타데이터정보, 컨텐츠정보로 나뉘어출력된다. [ 그림 69 - Image Details] Meta Data : 메타데이터를선택하여좀더상세하게볼수있도록하는기능을제공하 는 Tab 이다. 왼쪽프레임영역에메타데이터위치를입력하면해당메타데이터의상세정 보를출력하여준다. [ 그림 70 - Meta Data] 56

Data Unit : 특정데이터블록의내용을볼수있도록도와주는 Tab 이다. [ 그림 71 - Data Unit 결과 ] 간단하게삭제된파일을복구하여보자. TSK 에서는 tsk_recover 자동화도구를통해삭제 된파일을복구할수있었는데 Autopsy 에서는 File Analysis Tab 의왼쪽프레임영역의 "ALL Delete Files" 버튼으로쉽게삭제된파일목록을확인할수있다. [ 그림 72 - 삭제파일확인 ] 로컬컴퓨터로해당파일을저장하려면파일이름을클릭하거나이미지파일 13) 의경우파일 이름을클릭하면오른쪽프레임의중간부분을보면 Export 버튼이보이는데이버튼을클 릭하면된다. 13) 이미지파일의경우파일이름을클릭하면이미지파일의미리보기기능이실행된다. 57

- 마치며 지금까지디스크와파일시스템분석에사용되는 TSK, Autopsy 도구를알아보았다. 수많은기능들을조사관에게제공하여분석을수월하게하는아주유용한도구들이다. 하지만, 도구가아무리좋다하여도분석관에게파일시스템이나디스크에대한전반적인지식이없다면해당도구들이분석하여내놓은결과물은사용할수없는쓰레기정보가되어버린다. 도구가분석한결과물들이쓰레기정보가되지않도록조사관나름대로의디스크와파일시스템지식이있어야할것이다. 도구는분석을수월하게해주는유용한것일뿐, 모든것을전지전능하게수행해주는것이아니라는것을알기바란다. - 참고자료 - 명령어기본도움말 - Wiki TSK(http://wiki.sleuthkit.org/index.php?title=TSK_Tool_Overview) - cmarko_tskintro by Chris Marko - Forensics Ferret Blog(http://forensicsferret.wordpress.com/tag/nsrl/) - NSRL(http://www.nsrl.nist.gov/) - Autopsy Help(http://www.sleuthkit.org/autopsy/help/index.html) - 분석이미지 (http://dftt.sourceforge.net/) - 테스트환경 TSK : Windows 7 x64 SP1 Cygwin Autopsy : Windows 7 x64 SP1 Google Chrome 58