MAGNET Axiom - User Guide (Korean) #6 AXIOM Process 맞춤 설정
[ Magnet Axiom Process ]
(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!
참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다!
중요한 단계만 보려면 굵은 글씨를 따라가도록 하자.
필자는 저번시간에 증거분석에 대해서 다뤘었다. 오늘은 Magnet Axiom Process 맞춤설정에 대해서 다루도록 하겠다.
Magnet AXIOM Process를 사용하기 전에 진단 정보를 Magnet Forensics(Company)에 제공할지, 소프트웨어 업데이트를 자동으로 수신할지, 검색 중에 컴퓨터가 절전 모드로 전환되지 않도록 할 것인지 등의 일반 설정을 사용자가 지정할 수 있다.
또한 이미지 압축 여부, 해시 값 작성 여부 등과 같은 검사 실행 방법을 설정할 수 있다.
- Android 및 드라이브 이미지에 대한 세그먼트 생성
Magnet AXIOM Process가 Android 및 드라이브 이미지에서 증거를 얻을 때 생성하려는 이미지 세그먼트의 크기를 지정할 수 있다.
각 옵션은 저장 용량 크기가 다르다. 기본적으로 이미지 세그먼테이션은 해제되어 있다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 이미징 > 이미지 세그먼테이션 섹션의 드롭다운 목록에서 형식을 선택
- 증거 소스에 대한 해시 값 만들기
Magnet AXIOM Process는 수집한 각 증거 소스에 대해 해시 값을 만들 수 있다.
기본적으로 이미지 해싱은 해제되어 있다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 이미징 > 이미지 해싱 섹션에서 수집 중인 각 증거 소스에 대해 해시 값 계산 확인란을 선택
- 수집한 이미지의 해시 값 확인
Magnet AXIOM Process는 E01 이미지에 대한 해시 값을 생성하고 소스 E01 이미지의 해시 값과 비교할 수 있다.
이 프로세스는 이미지가 변경되지 않았음을 확인한다다. 해시 확인 정보는 Case Information.txt 및 .xml 파일에 기록된다. 기본적으로 이미지 해시 확인은 해제되어 있다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 이미징 > 이미지 해싱 섹션에서 이미지 해시 확인 사용 확인란을 선택
- 이미지 압축
Magnet AXIOM Process가 수집하는 E01 이미지를 압축할 수 있다. 가장 빠른 옵션은 빠른 시간 내에 약간의 압축을 제공한다다. 가장 좋은 옵션은 최상의 압축을 제공하지만 빠른 옵션보다 훨씬 오래 걸릴 수 있다.
기본적으로 이미지 압축은 해제되어 있습니다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 이미징 > 압축 섹션의 드롭다운 목록에서 압축 방법을 선택
- Android 장치의 장치 상태 복원
Magnet AXIOM Process는 Android 장치에서 증거를 수집하고 데이터를 복구하는 데 도움이 되도록 에이전트 애플리케이션을 장치에 설치한다.
스캔이 완료되면, Magnet AXIOM Process이(가) 장치에서 에이전트 응용 프로그램을 제거할 수 있다.
기본적으로 에이전트 응용 프로그램은 장치에 남아 있다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 이미징 > 장치 상태 복원 섹션에서 에이전트 응용 프로그램 제거 확인란을 선택
- 임시 파일을 맞춤 설정 위치에 저장
기본적으로 Magnet AXIOM은 사례와 관련된 모든 임시 파일을 사례 폴더에 저장한다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 처리 중 > 일시적인 파일 위치 섹션의 드롭다운 목록에서 맞춤형 위치를 클릭
3. 찾아보기를 클릭하고 사례와 관련된 모든 임시 파일을 저장할 폴더를 설정
- 이미지의 해시 값 확인
Magnet AXIOM Process는 처리하는 각 이미지에 대해 해시 값을 만들 수 있다.
이 해시 값은 이미지의 디지털 지문처럼 작동하며 파일을 변조하지 않았는지 확인하는 데 사용할 수 있다.
기본적으로 이미지의 해시 값 생성은 해제되어 있다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 처리 중 > 이미지 해시 확인 섹션에서 각 이미지 파일의 해시 값 확인 확인란을 선택
- 중복 아티팩트 결과 처리
사례에는 흔히 중복된 아티팩트 결과가 포함되어있어 혼란스럽고 효율성을 떨어뜨릴 수 있다.
사례에서 아티팩트 결과를 제거하거나 중복 제거하도록 Magnet AXIOM Process를 설정할 수 있다.
중복 제거 프로세스의 일부로 Magnet AXIOM Process는 각 아티팩트의 필수 정보 조각을 확인하고 해당 조각에 고유한 값을 할당한다. 고유한 값을 가진 첫 번째 아티팩트만 유지된다.
반복되는 값은 중복된 것으로 무시된다. 파싱된 적중은 항상 유지되며, 가장 완전한 정보를 포함하고 있으며, 중복조각된 적중은 제거된다.
사례에서 중복 아티팩트 결과를 제거하도록 선택하더라도 Magnet AXIOM Process에서 중복 아티팩트를 생성할 수 있는 시나리오가 있다.
예를 들어 동일한 사진이 다운로드 폴더와 임시 폴더라는 두 개의 다른 위치에서 검색된 경우 아티팩트가 한 위치에서 제거되지 않는다. Magnet AXIOM Process는 각 경로를 고유한 소스로 취급하므로 아티팩트가 두 위치에 모두 표시된다. 유일한 예외는 아티팩트중 하나가 파싱되고 다른 하나가 조각된 경우이다. Magnet AXIOM Process는 파싱된 사진을 유지하고 조각된 사진은 제거된다.
삭제된 아티팩트의 경우 할당되지 않은 공간에서 복구된 경우 동일한 규칙이 적용된다. 고유한값을 가진 첫 번째 아티팩트만 유지된다. 그러나 서로 다른 드라이브의 할당되지 않은 공간에서 동일한 아티팩트가 발견되면 소스가 다르기 때문에 두 가지 아티팩트 모두가 유지된다.
- 복제 아티팩트 결과 제거
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 처리 중 > 복제 섹션에서 복제 제거 확인란을 선택
- 로그 정보 수집
실행 중에 Magnet AXIOM Process는 진행 상황을 추적하고 잠재적인 문제를 해결하는 데 사용할 수 있는 로그 정보를 수집 할 수 있다.
로깅을 사용하면 성능이 저하될 수 있으므로 필요할 때만 켜야 한다.
Manget AXIOM Process의 로그 파일 위치: C:\AXIOM\Cases\.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 처리 중 > 기록 섹션에서 로깅 사용 켜기 확인란을 선택
- 스캔 시간 최적화
가장 빠른 스캔을 위해 Magnet AXIOM Process는 컴퓨터의 모든 논리적 코어(최대 32개)를 사용한다.
검사 중에 다른 작업을 하려면 코어 수를 줄이도록 하자.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 처리 중 > 검색 속도 섹션의 드롭다운 목록에서 AXIOM Process가 사용하길 원하는 코어 수를 클릭
- 대용량 파일의 해시 방지
검사를 설정할 때 해시 값이 포함된 파일을 추가할 수 있다. Magnet AXIOM Process는 그런 다음 이 값을 사용하여 관련이 없는 파일을 무시하거나 자동으로 사진 범주화한다.
두 경우 모두 스캔하는동안 발견한 모든 파일을 해시 목록과 비교하여 Magnet AXIOM Process가 해시해야 한다. 매우 큰 파일을 해시하는 데 오랜 시간이 걸릴 수 있으므로 해시할 파일의 최대 크기를 설정하여 검색 시간을 향상시킬 수 있다. 기본값은 500MB이다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 해싱 > 해싱 파일 크기 제한 섹션의 처리 시간 최적화, 파일보다 큰 파일의 해시 계산 안 함 확인란을 선택
3. 해시 값을 만들려는 최대 파일 크기 (MB)를 입력
- 해시 값의 형식 설정
Magnet AXIOM Process는 MD5 및 SHA-1 형식으로 해시 값을 만들 수 있다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 해싱 > 해시 형식 섹션의 드롭다운 목록에서 사용할 해싱 형식을 클릭
- 수정된 사진 식별
사진 범주화를 위해 Magnet AXIOM Process에 해시 파일을 제공하면 PhotoDNA와 퍼지 매칭을 사용하여 해시 값을 변경하기 위해 수정된 그림을 식별할 수 있다. PhotoDNA는 법 집행에만 사용할 수 있다.
비밀번호를 요청하려면 www.magnetforensics.com/photodnaregistration 을 방문하자.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. 해싱 > 사진 DNA 가능 섹션에 Magnet Forensics에서 받은 비밀번호를 입력
- 소프트웨어 업데이트 끄기
Magnet AXIOM Process가 시작될 때마다 자동으로 소프트웨어 업데이트가 있는지 확인한다.
이 옵션을 해제한 경우 고객 포털에서 수동으로 업데이트를 확인해야한다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. AXIOM 방법 설정 > 소프트웨어 업데이트 섹션에서 자동으로 업데이트 확인 확인란의 선택을 취소
- PASSWARE 암호화 기능 켜기
Passware, Inc.에서 제공하는 타사 플러그인을 사용할 경우, Magnet AXIOM은 알려진 암호 또는 복구키로 드라이브 인식 및 전체 디스크 암호 해독을 지원한다. 이 기능을 켜면 향후 AXIOM 소프트웨어 업데이트에는 Passware 플러그인에 대한 업데이트도 포함된다.
1. 최신 버전의 Magnet AXIOM을(를) 설치
2. Magnet AXIOM Process 도구> 설정을 클릭
3. Magnet AXIOM Process 설정 > 패스웨어 암호화 기능 섹션에서 Passware 플러그인을 사용하여 암호화 및 드라이브 해독 기능 켜기 확인란을 선택
- 표시 언어 변경
Magnet AXIOM Process의 표시 언어를 변경하면 Magnet AXIOM Examine의 표시 언어도 변경됩니다.
(Magnet AXIOM Examine에서 언어를 변경할 수 있습니다.) 언어를 변경하면 AXIOM Examine을 다시 시작해야한다.
1. Magnet AXIOM Process 도구> 설정을 클릭
2. Magnet AXIOM Process 설정 > 언어 섹션의 드롭 다운 목록에서 사용할 언어를 클릭
3. 재시작
일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.
다음 포스팅에는 이미지 수집은 위한 모바일 장치 준비에 대해서 설명하도록 하겠습니다.
다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)
'Forensics > Magnet AXIOM' 카테고리의 다른 글
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치 (0) | 2020.03.05 |
---|---|
MAGNET Axiom - User Guide (Korean) #7 이미지 수집을 위한 모바일 장치 준비 (0) | 2020.02.01 |
MAGNET Axiom - User Guide (Korean) #5 증거 분석 (0) | 2020.01.27 |
MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보 (0) | 2020.01.22 |
MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보 (0) | 2020.01.16 |
댓글
이 글 공유하기
다른 글
-
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
MAGNET Axiom - User Guide (Korean) #8 이미징 모바일 장치
2020.03.05 -
MAGNET Axiom - User Guide (Korean) #7 이미지 수집을 위한 모바일 장치 준비
MAGNET Axiom - User Guide (Korean) #7 이미지 수집을 위한 모바일 장치 준비
2020.02.01 -
MAGNET Axiom - User Guide (Korean) #5 증거 분석
MAGNET Axiom - User Guide (Korean) #5 증거 분석
2020.01.27 -
MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보
MAGNET Axiom - User Guide (Korean) #4 아티팩트 세부 정보
2020.01.22