[AXIOM] Documents 분석 기능

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM의 Documents 분석 기능에 대해 알아 보겠습니다. 모두 화이팅하세요.

 

Documents Artifacts

한글 워드프로세서(hwp)도 지원합니다.

 

Document Content

Exporting Documents To A Local Drive

 

 

Document MetaData

문서의 메타 데이터는 파일을 따라 다니고 파일 시스템과는 상관 없습니다. (Document metadta travels with the file and is independent of the file system.)

 

따라서 메타 데이터는 문서가 스토리지 디바이스에 처음 기록되었을 때가 아니라, 문서가 생성되었던 때에 관한 더 정확한 정보를 제공할 수 있습니다. (Metadata can therefore often provide more accurate information regarding when a document was first created, as opposed to when the document was first written to the storage device.)

 

메타 데이터가 없는 문서파일도 있습니다.

- CSV

- RTF

- Text

 

Microsoft Office와 비슷한 메타데이터를 갖는 문서파일은

- OpenOffice

- PDF

- HWP

유사하긴 하나 한글 워드프로세스만의 독특한 구조도 갖습니다.

 

Creating An Artifact Report

 

Connections

케이스 안의 아티팩츠간의 연결을 보여 줍니다.

기본적으로는 수작업으로 만들어야 합니다.

Tools --> [Build connections]

다만, 케이스에 새로운 증거를 추가할 때 자동으로 만들 수 있습니다.

Tools --> Settings --> Connections에서 [Automatically build connections] 옵션을 활성화 시킵니다.

분석물이 모바일 디바이스이든, 컴퓨터이든, 클라우드 이든 케이스 안의 모든 증거에 대하여 연결관계를 만들어 줍니다.

Connections는 분석의 육하원칙을 수립하는데 도움이 됩니다.

 

Who

누가 관련되어 있는가? (Who was involved?)

누가 혐의 파일을 소유하였는가? (Who owned a suspect file?)

누가 그것을 그 위치에 두었는가? (Who put it in that location?)

누가 그 파일을 보았는가 또는 실행하였는가? (Who looked at or executed the file?)

누가 그것을 삭제하였는가? (Who deleted it?)

누가 그것을 이메일로 보냈는가 또는 전송하였는가? (Who emailed/transferred it?)

누구에게 그것을 이메일로 보냈는가 또는 전송하였는가? (Whe did they email/transfer it to?)

사건이 발생하였을 때 누가 그 기계(컴퓨터)를 사용하였는가? (Who was using the machine at the time the offence occurred?)

 

What

무슨 일이 있었던가? (What happened?)

이 파일이 관계하는 다른 파일은 무엇인가? (What other files is this files related to?)

파일 이름과는 상관 없이 같은 해시값을 갖는 다른 파일은 무엇인가? (What other files have the same hash regardless of filename?)

사용된 어플리케이션은 무엇인가? (What applications have been used?)

메타데이터가 제공하는 추가적인 정보는 무엇인가? (What additional information does the metadata provide?)

동일한 폴더/디바이스에 저장된 다른 파일은 무엇인가? (What other files were stored in the same folder/on the same device?)

무엇이 그 이벤트의 연결인가? (What was the sequence of events?)

 

When

언제 그것이 일어났는가? (When did it occur?)

언제 사진이 찍혔는가? (When a picture was taken?)

이 파일은 언제 열람되었는가/메일로 보내졌는가/공유되었는가/전송되었는가? (When was this file viewed/emailed/shared/transferred?)

이 파일은 언제 실행되었는가/마지막으로 접속되었는가? (When was this file executed/last accessed?)

 

Where

그것이 어디에서 일어났는가? (Where did it take place?)

파일이 다른 어디에 위치하는가? (Where else a file is located?)

그것이 로컬에 저장되었는가/다른 디바이스에 저장되었는가/클라우드에 저장되었는가? (Where was it saved locally/to other devices/to the cloud?)

그것은 어디에서 다운로드 되었는가? (Where was it downloaded from?)

그것은 어디로 배포되었는가? (Where was it distributed to?)

디바이스가 사용되었는지 보여 주기 위한 로그는 어디에 있는가? (Are there logs to show where a devcie been used?)

 

Why

왜 그것이 일어났는가? (Why did it happen?)

채팅, 이메일 등의 형태로 된 서신의 내용 또는 컴퓨터의 로그의 내용을 기반으로 규명 가능합니다.

 

How

어떻게 그것이 일어났는가? (How did it happen?)

이 파일이 어떻게 이 디바이스에 들어가게 되었는가? (How did this file get onto this device?)

그 파일이 어떻게 다른 사람들과 공유되었는가? (How was the file shared with other people?)

이 사람이 다른 중요한 사람들과 어떻게 소통하였는가? (How did this person communicate with other key people?)

4개의 모드가 있습니다.

- Primary Nodes

- Direct Nodes

- Selected Nodes

- Indirect Nodes

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)