[AXIOM] Processing과 Artifacts의 설정 옵션

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM에서 Processing를 설정하는 옵션과 분석대상 Artifacts를 설정하는 옵션에 대해 알아보겠습니다. 모두 화이팅 하세요!!!

 

Processing Details

[Processing Details]섹션에서 사용자는 키워드 또는 해시셋을 추가하여 증거를 처리하면서 동시에 키워드 분석과 해시분석도 가능합니다.

 

 

[Add Keywords To Search]옵션

키워드 추가는 개별 단어와, 키워드 리스트 형식으로 추가 가능합니다.

키워드 리스트는 텍스트 파일로 만들어 지고, 라인 당 하나의 해시값을 표현합니다.

키워드에 GREP 표현식도 포함할 수 있습니다.

 

[Keyword Search Type]

증거의 어느 영역을 대상으로 키워드 검색을 수행할 것인가를 선택할 수 있습니다.

- Artifacts

키워드 검색 속도가 빠릅니다

- All content

전체 디바이스에 대하여 심층 검색(in-depth search)을 수행합니다.

시간이 오래 걸립니다.

키워드 검색은 AXIOM Examiner 안에서 수행할 수도 있습니다.

 

[Calculate Hash Values For All Files]

해시값을 계산해 주는 옵션입니다.

시간이 많이 걸리므로, 기본적으로 비활성화 되어 있습니다.

처리 시간을 줄이기 위해, 해시값을 계산할 파일의 크기를 정할 수 있습니다.

기본적으로는 500MB로 설정되어 있습니다.

즉, 파일의 크기가 500MB 이상이면 해시값 계산 대상에서 제외됩니다.

계산된 해시값은 AXIOM Examine의 File System 탐색기에서 확인 가능합니다.

<주의> 만약 [Tag Files With Matching Hash Values] 또는 [Ignore Non-relevant Files] 섹션이 활성화 되어 있으면, 위 옵션은 비활성화 되지 않습니다.

 

 

[Tag Files With Matching Hash Values]

'해시분석' 기능입니다.

해시 리스트를 활용하여 특정한 해시값과 일치하는 파일을 자동으로 찾아 줍니다.

 

[Ignore Non-relevant Files]

'해시분석' 기능입니다.

해시 리스트와 비교하여 일치하는 파일은 제외하는 옵션입니다.

윈도우 시스템 파일과 같은 잘 알려진 파일을 찾아서 AXIOM이 더 이상 추가적인 프로세싱을 하지 않도록 미리 제외시켜 줍니다.

즉, 파일 그 자체는 AXIOM Examine에서 볼 수 있으나, AXIOM은 그것을 더 이상 검색하지 않게 됩니다. (추가적인 검색 대상에서 제외시킴)

 

알려진 소프트웨어에 대한 공개용 해시 리스트

NIST(National Institute for Standards and Technology) 가 만들어 놓은 NSRL(National Software Reference Library)이 있습니다.

Margnet 사이트에서 내려 받아 AXIOM에 추가할 수 있습니다.

 

[Categorize Pictures And Videos]

프로세싱 단계에서 사진과 동영상을 자동으로 분류하여 주는데, 2가지 방법이 있습니다.

 

[Load Project VIC / CAID Files]

 

[PhotoDNA]

 

[Use The Dynamic App Finder]

알려진 어플리케이션과 관련이 없는 모든 SQLite 데이터베이스에 대한 증거를 검색하게 해 줍니다.

그렇게 함으로써, 현재 지원되지 않는 어플리케이션을 식별 가능하게 됩니다.

비록 해당 어플리케이션이 현재는 AXIOM에서 지원되지는 않으나, 여전히 SQL 테이블의 컨텐츠는 읽어 들일 수 있습니다.

이것은 조사자에게 선택된 데이터베이스 필드를 아티팩츠 컬럼과 맵핑시켜 주고 그 컨텐츠를 AXIOM Examine에서 보여주는 기능을 제공합니다.

 

 Artifact Details

3개의 카테고리로 나뉩니다.

- Computer

- Mobile

- Cloud

각 아티팩츠의 하단에 [options]가 있으면 추가적인 옵션이 있다는 의미입니다.

예) Video 아티팩츠의 옵션

 

[Detect skin tone]

음란물을 자동으로 식별하게 합니다.

 

[Create a preview using still frames]

동영상의 10% 마다 스틸 프레임을 찍어, 그 사본을 케이스에 저장합니다.

 

[Save videos up to]

전체 비디오 컨텐츠를 케이스에 저장하는데, 최대 저장 용량을 정할 수 있습니다.

기본적으로 최대 500MB의 크기로 저장하게 되어 있어, 별도의 동영상 플레이어를 사용하지 않더라도 AXIOM 환경안에서 바로 열람할 수 있습니다.

 

[Carve Video up to]

프로세싱 과정에서 동영상 파일을 자동으로 카빙하여 주는데, 카빙되는 동영상 파일의 최대 크기를 정할 수 있습니다.

기본은 20MB 이다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : Magnet AXIOM Examinations (AX200)