[AXIOM] 데이터 처리의 다양한 옵션들

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM에서의 다양한 분석 섹션들에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!

 

Analyze Evidence

이미징과 프로세싱 결과를 보여주는 섹션입니다.

케이스에 추가할 증거나 이미지를 추가할 수 있는 마지막 단계입니다.

[Acquire Evidence] 옵션을 통해 모든 증거 아이템에 대한 획득을 시작할 수 있습니다.

 

Post Processing

이미 만들어진 케이스에 새로운 증거 아이템을 추가할 수 있습니다.

AXIOM Process 또는 AXIOM Examine 에서도 추가 가능합니다.

AXIOM Examine --> Process --> [Add new evidence to case]

 

Encrypted Drives

패스워드를 확인한 후 암호화된 드라이브나 볼륨을 케이스에 추가해야 합니다.

BitLocker는 AES를 사용하여 전체 드라이브나 볼륨을 암호화합니다.

BitLocker가 설정된 USB를 윈도우 시스템에 연결하면, 윈도우는 암호화된 드라이브의 VBR 안에서 발견된 정보를 기반으로 BitLocker로 암호화 되어 있음을 인식하고 윈도우 탐색기에서 해당 드라이브에 자물쇠를 붙여 표시하여 줍니다.

 

패스워드를 알면 AXIOM으로 이미징할 수 있습니다.

패스워드를 모른다면, 해당 컴퓨터에서 BitLocker Recovery Key (.BEK)의 존재 여부를 확인하여야 합니다.

 

사용자들은 .BEK 파일의 사본을 Documents 폴더나 Desktop 폴더에 저장하여 두는 경향이 있습니다.

.BEK 파일에는 48-digit recovery key가 포함되어 있고, 이것을 복사하여 AXIOM에 붙여 복호화를 시도합니다.

 

 AXIOM Examine Settings

5개의 탐색기(explorer)가 있습니다.

- Artifacts

- File system

- Registry

- Connections

아티팩츠와 파일 간의 관계를 보여줍니다.

- Case dashboard

디폴트로 보여줍니다.

 

 

[Automatically build connections] 옵션

케이스 안에서 아티팩츠 간에 존재하는 연결을 자동으로 만들어 줍니다.

기본적으로 비활성화 되어 있고, 필요하면 수작업으로 작동시켜야 합니다.

Tools --> [Build connections]

케이스에 새로운 증거가 추가된 경우에도 그 증거에 대한 처리가 끝나면 자동으로 연결을 만들어 줍니다.

하나의 증거 아이템으로부터 추출된 아티팩츠에 대한 연결 뿐만 아니라, 해당 케이스 안의 모든 아티팩츠 사이의 연결을 만들어 줍니다.

이 옵션이 비활성화되어 있는 상태에서는 새로운 증거 아이템이 추가될 때 마다, 그리고 조사자가 정의한 아티팩츠를 추가할 때 마다, 조사자가 직접 연결을 재구성해 주어야 합니다.

 

[Diagnostic Information] 옵션

AXIOM 이 설치된 컴퓨터가 인터넷에 연결되어 있으면, 소프트웨어를 업데이트하기 위한 정보를 모아 보낼 수 있습니다.

AXIOM은 11개 국어를 지원합니다.

 

Case DashBoard

조사와 분석의 중심 화면을 이룹니다.

 

 

[Case Overview]

[Case Summary Notes], [Case Processing Details], [Case Information]로 구성되어 있습니다.

 

[Evidence Overview]

[View Evidence For This Souce Only]

해당 증거 아이템에서 나온 아티팩츠만을 자동으로 추출하여 보여줍니다.

 

[Places To Start]

해당 케이스의 주요 부분에 대한 요약본을 보여줍니다.

정보가 포함된 것만 확장하어 보여줍니다.

 

[Artifacts Categories]

[Tags And Comments]

[Tag Files With Matching Hash Values]를 실행하여 해시가 일치하는 파일을 발견되지 않았다면, 여기는 빈 공백만이 있을 겁니다.

Magnet AI를 이용하여 채팅과 사진 분류를 시작할 링크를 확인 할 수 있습니다.

사진 분류는 시간이 많이 걸립니다.

 

[Keyword Matches]

프로세싱 하는 동안 키워드가 검색된 것이 있으면 여기에 그 결과를 보여 줍니다.

 

[Password And Tokens]

증거 안에서 식별된 모든 패스워드와 토큰을 보여 줍니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)