MAGNET Axiom - User Guide (Korean) #14 맞춤형 아티팩트
[ Magnet Axiom Process ]
(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!
참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다!
- 새로운 애플리케이션과 서비스가 시장에 출시되는 빈도와 함께 사용자 지정 아티팩트를 사용하면 Magnet AXIOM에서 지원되지 않을 수 있는 아티팩트를 최신 상태로 유지할 수 있습니다.
- 기업 환경에서 맞춤형 아티팩트를 사용하여 독점적 응용 프로그램의 데이터를 복구할 수 있습니다.
- 고유 아티팩트를 만드는 것 외에도, 아티팩트 교환을 사용하여 다른 조직에서 작성하고 업로드한 맞춤형 아티팩트를 다운로드하고 설치할 수 있습니다.
맞춤형 아티팩트는 무엇일까?
맞춤형 아티팩트는 특정 유형의 증거를 복구하기 위한 XML 파일 또는 Python 스크립트입니다.
일반적으로 맞춤형 아티팩트는 Magnet AXIOM이 아직 지원하지 않는 새로운 애플리케이션 또는 기능을 타겟으로 합니다. Magnet Forensics가 직접 맞춤형 아티팩트를 개발 및 유지 관리하지 않기 때문에 완벽하게 지원되는 Magnet AXIOM 아티팩트와 동일한 수준의 테스트를 거치지 않습니다.
따라서 더 빠르게 개발되고 출시될 수 있습니다. 맞춤형 아티팩트는 실행 가능한 코드를 포함할 수 있으며 관리자 권한이 있는 샌드 박스하지 않은 Python 환경에서 실행됩니다. 제한없는 환경에서 실행할 수 있기에 유연하지만 맞춤형 아티팩트 소스를 신뢰할 수 있어야 합니다.
[ 맞춤형 아티팩트 로드 ]
1. 맞춤형 아티팩트 생성
2. AXIOM Process에서 도구 > 맞춤형 아티팩트 관리를 클릭하십시오.
3. 새 맞춤형 아티팩트 추가를 클릭하고 아티팩트를 저장한 위치로 이동하십시오.
4. 아티팩트를 클릭한 다음 확인을 클릭하십시오.
AXIOM Process는 아티팩트 정의 템플릿을 AXIOM Process/plugins 폴더에 저장합니다.
[ 맞춤형 아티팩트 검색 ]
- AXIOM Process를 시작하십시오.
- 아티팩트 세부 정보 탭에서 맞춤형 아티팩트를 위해 지정하는 플랫폼에 따라 맞춤형 모바일 아티팩트 또는 맞춤형 컴퓨터 아티팩트를 클릭합니다. 플랫폼을 지정하지 않으면 둘 다에서 아티팩트를 사용할 수 있습니다.
3. 플러그인 아티팩트를 이미 플러그인 폴더에 로드한 경우에만 맞춤형 아티팩트 옵션을 선택하십시오.
4.플러그인 폴더에 로드한 맞춤형 아티팩트가 표시되는지 확인합니다.
- 아티팩트를 사용할 수 없는 경우 아티팩트 스키마에 문제가 있을 수 있습니다.
- 자세한 내용은 plugins폴더의 log.txt 파일을 확인합니다.
5. 사례 설정을 마치면 증거분석을 클릭합니다.
[ AXIOM Process 맞춤형아티팩트 ]
AXIOM 에서 추가 아티팩트를 검색하도록 허용 옵션을 설정한 경우 검색을 완료한 후 AXIOM Process에 유용한 데이터가 포함되어 있다고 의심되는 모든 데이터베이스가 아티팩트 맞춤 설정 화면에 표시됩니다.
AXIOM Process가 표시하는 데이터는 원시적이지 않으며 추출한 앱 이름과 열은 이해하기 어렵거나 사용자에게 친숙하지 않을 수 있습니다. 결과를 AXIOM Examine에서 맞춤형 결과가 표시되도록 할 수 있습니다. 따라서 조사할 때, 조사관들이 결과를 쉽게 이해할 수 있습니다.
아티팩트의 이름을 변경할 수 있습니다 (기본적으로 AXIOM Process는 일반적으로 사용자 친화적이지 않은 데이터베이스 이름을 사용합니다. 데이터 유형을 나타내는 범주에 아티팩트의 각 조각을 매핑할 수도 있습니다. 각 조각을 매핑하면 AXIOM Process에 데이터를 처리하고 표시하는 방법에 대한 지침을 제공합니다.
예를 들어 위도 또는 경도로 분류한 조각은 세계 지도 보기에 표시할 수 있으며 날짜/시간을 사용하는 조각은 타임라인 보기에 표시될 수 있습니다.
[ 관련 데이터 유형 및 데이터베이스 선택 ]
먼저, 드롭 다운 메뉴에서 확인란을 선택하거나 선택 해제하여 관련 데이터 유형 선택을 하십시오.
선택한 데이터 유형이 포함된 데이터베이스만 AXIOM Process 나타납니다. 사례와 관련이 있거나 관련성이 없는 데이터를 필터링할 수 있습니다. 기본적으로 모든 데이터 유형은 선택됩니다.
관련 데이터 유형 선택 (아래 참조) 아래 표에서 맞춤형 아티팩트를 생성할 데이터베이스를 선택할 수 있습니다. 기본적으로 데이터베이스는 선택되지 않습니다. 선택 항목을 수정하려면 모든 행 모두 활성화 및 모두 지우기 버튼을 사용하고 각 행의 확인란을 선택하십시오. AXIOM에서 계속 진행할 수 없습니다.이 테이블에서 아티팩트를 선택할 때까지 처리하십시오.
이 표에서 아티팩트의 이름을 변경할 수도 있습니다. AXIOM Process는 데이터베이스 표에서 이름을 수집하여 맞춤형 아티팩트 이름 열에 표시하지만, 아티팩트의 이름을 클릭하고 사용자 친화적인 이름을 입력하여 변경할 수 있습니다.
[ 열 매핑 ]
다음 단계는 심사관이 이해하기 쉬운 이름으로 열 이름을 다시 매핑하는 것입니다. AXIOM Process는 데이터 형식 및 내용을 반영하도록 열의 이름을 지정하려고 시도합니다.
이 예시에서 AXIOM Process는 여러 개의 다른 열에서 데이터를 복구할 수 있습니다.
이 중 4개는 위의 스크린 샷에서 볼 수 있습니다. 회색으로 표시된 열 (이 경우 ID 및 환경)은 AXIOM Process가 정확하
게 식별하고 범주를 제공할 수 없습니다. 기본적으로 이러한 열은 사용자가 이름을 제공할 때까지 맞춤형 아티팩트에서 제외됩니다. 이를 위해 열 제목 아래의 드롭 다운 메뉴를 엽니다. 맞춤 설정을 클릭하고 고유한 범주 이름을 입력하거나 다음에서 선택할 수 있습니다.
구/군/시 / 좌표 / 국가 / 날짜/시간 / 이메일 / 지리적 위치 / 위도 / 경도 / 메시지 / 전화 / 우편번호 / 받는 사람 / 보낸 사람 / 시/도 / 도로명 주소 / URL/URI
위 선택들을 고를수 있습니다.
AXIOM Process가 범주를 인식하면 열이 회색으로 표시되지 않습니다. 위의 예에서 이러한 범주에는 날짜와 시간이 포함된 날짜/시간 열과 메시지의 본문이 포함된 메시지 열이 포함됩니다. 이러한 이름을 다른 것으로 변경할 수 있으며, 열을 매핑하지 않으려면 드롭 다운 메뉴에서 없음을 클릭하십시오.
날짜/시간 조각의 경우, AXIOM Process는 조각이 저장되는 형식을 결정하고 그 값을 기본값으로 사용합니다. 날짜 형식 드롭 다운 메뉴에서 옵션을 선택하여 전체 표의 날짜 형식을 변경할 수 있습니다. 지정된 날짜 형식이 미리보기 표에도 나타납니다.
[ 맞춤형 아티팩트 미리보기 ]
마지막 단계는 미리보기를 검토하는 것입니다. 다음 표에는 AXIOM Process가 맞춤형 아티팩트의최종 버전에 포함할 복구된 모든 열과 실제 데이터가 나열되어 있습니다.
이 예에서 사용자는 지도 열 표에서 회색으로 표시된 열을 지도에 표시하지 않도록 선택했으므로 맞춤 아티팩트에 날짜/시간 및 메시지 조각만 표시됩니다.
[ 선택한 아티팩트 저장 ]
아티팩트의 내용에 만족하면 선택한 아티팩트 저장을 클릭합니다. AXIOM Process는 첫 번째 표에서 사용 옵션이 선택된 맞춤형 아티팩트만 저장합니다.
AXIOM Process는 아티팩트 정의를 AXIOM Process\plugins 디렉토리에 저장합니다.
다음에 스캔을 실행할 때 기본적으로 새 아티팩트를 선택할 수 있습니다.
[ AXIOM Examine에서 맞춤형아티팩트보기 ]
AXIOM Examine는 맞춤형 아래 탐색 창에서 맞춤형 아티팩트를 검사합니다. 사례에 맞춤형 아티팩트를 처음으로 추가할 때 AXIOM Examine이 이미 열려 있으면 해당 아티팩트가 증거 창에 나타나지 않습니다. 맞춤형 아티팩트를 보려면 AXIOM Examine을 닫고 사례를 다시 열어야 합니다.
다음 포스팅에서는 "Axiom Process 문제점"에 대해서 다루도록 하겠습니다.
추가적인 질문이나 오탈자는 아래 댓글 또는 pental@kakao.com 으로 연락주시면 감사하겠습니다.