#1 Magnet AXIOM - First Use

[ Magnet 회사의 AXIOM 포렌식 프로그램 ]

Magnet AXIOM Forensic Program

먼저 필자는 수많은 포렌식 프로그램을 써보았지만, 모두 무료 포렌식 프로그램이었습니다. FTK Imager, AutoPSY등등 수많은 프로그램을 사용해 보았지만, 기회가 되어서 Magnet AXIOM 라이센스를 얻게되었습니다.

> First, I've written a lot of Forensic programs, but they were all free. I've tried a lot of programs like FTK Imager, AutoPSY, and so on, but I got a chance to get a Magnet AXIOM license.

Magnet AXIOM 포렌식 프로그램을 하나하나 자세히 설명하는것을 포스팅 하겠습니다.

> I will post a presentation on each of the Magnet AXIOM Forensic Program

먼저 Magnet AXIOM 프로그램을 실행시켜줍니다.

> First run the Magnet AIXOM Program

프로그램의 첫 모습입니다. 굉장히 신기하게 생겼습니다.

> This is the first view of the program. It looks very interesting

처음에는 새 사례를 생성해주거나 기존의 AXIOM 사례 폴더를 열어주어야 합니다.

필자는 처음 써보는 프로그램이므로 새 사례를 생성해주겠습니다.

> You must first create a new case or open an exsiting AXIOM case folder.

> I'm new to this program, so I'll create a new case for you

새 사례 생성을 클릭하면, 사례 세부 정보를 입력하게 됩니다. 사례 세부 정보는 사례 번호와 사례파일의 위치, 인식된 장치의 위치를 지정해 주어야 합니다.

> If you  click Create a new case, you will enter the case details. The case details must specify the case number, the location of the case file, and the location of the recognized device.

스캔 정보에 스캔한 사람과 설명을 입력해 줍니다.

> Enter the person and description that you scanned in the scan information.

다음은 증거소스를 선택해야 합니다.

증거 소스로는 컴퓨터, 모바일, 클라우드를 선택할수 있습니다.

필자는 컴퓨터의 이미지 파일을 처음 시범 케이스로 분석해 볼겁니다.

> The following must be selected:

> You can choose computer, mobile, and cloud as your proof source.
> I'm going to analyze the computer's image file as the first demonstration case.

증거 소스로 컴퓨터를 선택하면 증거를 인식시키거나 증거파일을 로드해야 합니다.

> If you select Computer as evidence source, you must either recognize the evidence or load the evidence file.

필자는 증거로드를 선택하였습니다.

증거로드를 선택하게 되면 드라이브, 이미지, 파일 및 폴더, 불륨 섀도 복사본을 선책할수 있는 조건이 제시됩니다.

필자는 이미지 파일을 선택하였습니다.

> I have chosen to load evidence.

> Once you choose to load evidence, you will be given the conditions under which you can assign a drive, image, file and folder, and a volume shadow copy.

> The author has selected an image file.

필자는 미리 준비한 이미지 파일을 선택하였습니다.

> The author has selected a pre-built image file.

이미지 파일을 탑재하면 증거 소스의 파티션을 출력해 줍니다.

> Mounting an image file outputs a partition for the source of evidence.

다음은, 어느 파티션과 모든 파일을 분석, 특정 폴더만 분석, 할당되지 않은 공간을 분석할지 선택할수 있습니다.

> Next, you can choose which partitions and all files are analyzed, only specific folders are analyzed, and the unallocated space is analyzed.

처리 세부 정보를 선택할 수 있습니다. 분석할때 특정 키워드만 검색, 헤시 값 계산, 사진 및 동영상 분류, CPS 데이터 등을 선택해서 분석할 수 있습니다.

> Lets you select the processing details. When analyzing, you can select search for only specific keywords, calculation of hash values, classification of pictures and movies, and CPS data.

다음은 아티팩트 세부 정보 입니다. AXIOM 에서는 158개의 아티팩트를 제공하는데 필자의 이미지 파일은 135개의 아티팩트를 포함하고 있다고 AXIOM 프로그램에서 친절하게 알려주고 있습니다.

> The following is the artifact details: AXIOM provides 158 artifacts, and the AXIOM program kindly notifies you that my image file contains 135 artifacts.

증거분석 전의 마지막 단계 입니다. 처리할 소스를 선택해서 좌측 하단의 증거 분석을 클릭해줍니다.

> This is the last step before the evidence analysis. Select a source to process and click Analyze Evidence in the lower left corner.

위 사진은 증거가 분석되고 있는 상황입니다.

> The above picture shows evidence being analyzed.

분석이 완료가 되었습니다.

> Analysis has been completed.

지금까지는 Magent AXIOM Process 프로그램을 사용하였는데 증거 분석은 Magnet AXIOM Examine 프로그램을 별도로 사용합니다.

> So far, we have used the Magent AXIOM Process program, but the evidence analysis uses the Magnet AXIOM Exam program separately.

아티팩트 항목에서 문서를 선택해보았습니다. 이미지 파일안에 txt문서가 87개 pdf 문서가 1개 있다고 확일할 수 있습니다.

> You have selected a document in an artifact item. You can verify that there are 87 pdf documents in the image file.

증거정보 탭에서 마지막 수정한 날짜 / 시간, 마지막으로 엑세스한 날짜 / 시간, 생성한 날짜 / 시간과 크기를 확일 할 수 있습니다.

> On the Evidence Information tab, you can add the last modified date / time, last accessed date / time, created date / time and size.

PDF 파일의 경우는 미리보기가 지원됩니다.

> Preview is supported for PDF files.

다음은 사진 아티팩트의 결과입니다. 별다른 소득은 없어 보입니다.

> The following are the results of Photo artifacts: It doesn't look like there's any significant income.

사진정보의 MD5해시와 SHA1의 해시도 함께 표시해 줍니다.

> The MD5 hash of the photo information and the hash of SHA1 are also displayed.

채팅 내역을 확인 할수 있습니다.

> You can check the chat history.

또한 식별자도 확인 가능합니다.

> You can also identify identifiers.

지금까지 Magent AXIOM 프로그램의 기본 틀만 설명했습니다. 다음 포스팅부터는 자세한 기능 설명을 추가 하겠습니다.

> So far we have only described the basic framework of the Magent AXIOM program. From the next posting, we will add a detailed function description.

라이센스를 제공해주신 Magent 회사에 감사드립니다.

> Thank you for your licensing for the Magic Company.