안녕하세요. 도깬리 포렌식스 입니다.
오늘은 AXIOM 포렌식 분석 도구에 대한 마지막 회차 입니다. 모두 끝까지 화이팅 하세요 !!!
Exporting – Artifacts View
AXIOM에서의 Export와 Save 개념을 구분하여 알고 있어야 합니다.
Export
실제 파일이 아니라 그 파일의 속성 등 메타데이터를 하나의 output 파일로 만들어 줍니다.
Save
실제 파일을 내보내기 하는 것을 의미합니다.
Exporting – Portable Case
EnCase의 Review Package와 비슷한 개념입니다.
‘True view’ export 기능
메타데이터 컬럼중 보고 싶은 것만 선택하여 그것만 분석 결과에 나타나게 하는 기능입니다.
Portable Case는 다음과 같은 경우에 분석을 계속하기 위하여 이용할 만 합니다.
- e-discovery와 같은 법적 절차와 명령에 대응해야 하는 경우 (responding to legal process directives such as a discovery order)
- 다른 분석관에게 좀더 작은 규모의 아티팩츠 분석 의무를 할당하는 방식으로 대형 사건의 데이터를 관리하여야 하는 경우 (managing larger case data sets by assigning smaller artifact analysis duties to other examiners)
- 포렌식 분석팀의 신규 직원 교육용으로 활용해야 하는 경우 (providing training to new members of the examination team)
- 사건 관계자와 증거 데이터에 대한 리뷰와 소통을 해야 하는 경우 (collaborating and reviewing case evidence with other stakeholders)
- AXIOM 라이선스가 없는 수사팀의 일반 수사관과 협력을 해야 하는 경우 (allowing investigators without an AXIOM license, but with the most knowledge about the case)
Portable Cases는 AXIOM 라이선스가 있든 없든 모두 이용 가능합니다.
Portable Case 폴더 아래에는 2개의 데이터베이스가 존재합니다.
해시값 비슷한 파일이름으로 된 .attachments 파일
케이스에 포함된 데이터 포인터와 기타 세부적인 것을 포함합니다.
Case database (라이선스 있는 사용자의 경우) 또는 OpenCase.bat 파일 (라이선스 없는 사용자의 경우)
라이선스 있는 사용자는 그냥 케이스 폴더로 가서 Case.mfdb 파일을 더블클릭하기만 하면 됩니다.
라이선스 없는 사용자는 OpenCase.bat 파일을 더블 클릭해야 자동적으로 일부 기능이 제한된(lightweight version) Case.mfdb 파일이 열릴 것 입니다.
Merging Portable Cases
다른 포렌식 분석관이나 사건 관계자가 검토를 끝낸 다음에는 해당 Portable cases는 다시 원래의 케이스에 합쳐질 수 있습니다.
예) 분석할 데이터 양이 너무 많은 경우, 여러 명의 분석관들과 역할 분담을 할 수 있는데, 이때 선임 분석관이 나머지 분석관들에게 포터블 케이스로 나누어 주고, 분석이 끝나면 다시 되돌려 받아 합칠 수 있다.
Special Exports – Project VIC
AXIOM에서는 사진과 동영상을 분석을 할 때, Project Vic 1.2 또는 1.3 데이터셋을 만들 수 있습니다.
Project Vic
ICMEC (International Center for Missing and Exploited Children)와 DHS(Department of Homeland Security)가 주도합니다.
조사자들이 아동 착취 이미지를 찾고 분류하기 위하여 이용 할 수 있는 표준화되고, 공유된, 중앙집중적인 해시 데이터베이스를 만들기 위한 프로젝트 입니다.
AXIOM Process에서는 Project VIC*.JSON 데이터셋을 들여와서 해당 케이스에 있는 사진과 동영상을 Project VIC에 등록된 것들과 일치하는지 조사하기 위해 Catagorize Pictures 기능을 이용할 수 있습니다.
조사자는 AXIOM Examine의 Create report/export 기능을 이용하여 직접 Project VIC 데이터셋(custom Project Vic)을 만들 수도 있습니다.
Special Exports – Identifiers
AXIOM은 케이스를 만들 때 증거이미지에서 identifiers 아티팩츠를 파싱합니다.
Identifiers는 다음과 같은 사용자의 고유한 신상자료(biographical information)를 포함합니다.
- system level identifiers (SIDs)
- chat client screen names
- email addresses
- 기타 시스템의 해당 사용자를 특정하는 모든 값
Export type에서 Identifier를 선택하면 *.JSON 파일이 생성됩니다.
Exporting – File System Explorer
.csv 포맷으로 내보낼 수 있습니다.
Saving Files – Artifact and File System Explorers
추출될 파일 그 자체도 추가적인 분석이나 사건 관계자의 협력 또는 열람을 위해 케이스 밖으로 내보낼 수 있습니다.
Aritifacts --> Save artifact to
File system --> Save file/folder to
추출된 파일에 로컬 컴퓨터의 MAC 타임스탬프가 적용됩니다.
File system --> Save file/folder to ZIP
파일이 추출되더라도 Zip 파일 안에 포함되기 때문에 원래의 시간정보를 그대로 유지할 수 있습니다.
Case Reporting
가장 일반적인 보고서 포맷은 HTML입니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : Magnet AXIOM Examinations (AX200)
'AXIOM' 카테고리의 다른 글
| [AXIOM] 클라우드 아티팩츠 분석기능 (4) (0) | 2023.05.08 |
|---|---|
| [AXIOM] 클라우드 아티팩츠 분석기능 (3) (0) | 2023.05.05 |
| [AXIOM] 클라우드 아티팩츠 분석기능 (2) (0) | 2023.04.30 |
| [AXIOM] 클라우드 아티팩츠 분석기능 (1) (0) | 2023.04.27 |
| [AXIOM] 모바일 아티팩츠 분석기능 (9) (0) | 2023.04.23 |