MAGNET Axiom - User Guide (Korean) #1 툴 소개 & 요구 사항

[ MAGNET Axiom - User Guide (Korean) ]

오늘은 Magnet Axiom의 User Guide 입니다. (Reference : Magnet Axiom Korean User Guide)

 

Magnet Axiom은 디지털 포렌식 수사 플랫폼이다. 하나의 컴퓨터에서 컴퓨터, 스마트폰, 클라우드 등 데이터를 수집하고 처리하는 유일한 플랫폼이라고 소개되어있다. Magnet Axiom은 아래와 같은 항목을 지원한다고 한다.

1. 대부분의 소스에서의 데이터 복구 (아마 카빙 기법이라고 추측)

2. 더 좋은 조사 시작점을 제공하여 아티팩트로 드릴 다운 (더욱 체계적인 분석으로 아티팩트 결과를 제공)

3. 주요 증거를 신속하게 찾음 (필자가 해본 결과 일반적으로 CLI를 통해 Volatility를 사용해 메모리 분석을 종합적으로 할때는 대략 4-5시간 걸렸지만, Magnet Axiom은 그런거 필요없이 빠르게 진행되었다. 이 기능은 매우 유용한거 같다고 필자는 생각)

4. 아티팩트 간의 연결 찾음 (아티팩트 간에서의 연결을 체계적으로 분석)

5. 업계 표준 도구 및 이미지와 공동 작업 (필자는 다른 도구를 사용해보지 못해, 이건 잘 모르겠다.)

6. 쉬운 사용자 인터페이스로 기술 및 비 기술 사용자와  쉽게 공동 작업 (인터페이스가 매우 쉽다.)

 

필자의 Magnet Axiom 관련되 글을 한번이라도 읽었다면, Magnet Axiom에서는 두가지 프로그램으로 나뉜다는 사실을 알고 있을 것이다.

Magnet Axiom의 경우 Magnet Axiom Process, Magnet Axiom Examine 두가지 프로그램으로 나뉜다.

---

[ Magnet Axiom Process ]

Magnet Axiom Process 이미지, 드라이브, 파일 및 폴더 및 기타 소스를 검색해 사용자의 사건과 관련된 증거를 찾을 수 있다. 특정 아티팩트 또는 아티팩트 그룹을 선택하여 검색을 맞춤 설정할 수 있으며 검색할 키워드 또는 해시 값을 제공할 수 있다. 라고 설명되어있다. 

필자는 키워드 기능을 사용해 보았는데, 매우 유용한 기능같다. 오른쪽 상단의 검색 기능을 통해서 키워드 검색이 가능했다.

Keyword Search

Magnet Axiom Process를 사용하면 iOS 및 Android 디바이스, 클라우드 기반 증거 소스 및 HDD, SSD, USB  및 SD 플래시 등 다양한 유형의 드라이브에 대한 포렌식 이미지를 생성할 수 있다. 찾고있는 증거와 시간에 따라 획득하려는 이미지 유형을 맞춤형 설정할 수 있다.라고 설명이 되어있다. 

Choose Evidence Type

위 사진처럼 증거 소스를 선택할 수 있다. 컴퓨터의 경우 디스크, 메모리 등, 모바일의 경우 안드로이드, ios를 선택할 수 있으며, 클라우드는 아직 사용해보지 못해 모르겠지만, 추후 포스팅 하도록 하겠다.

---

[ Magnet Axiom EXAMINE ]

작업 처리가 완료된 후, Magnet Axiom Examine 사용자에게 쉽고 익숙한 방식으로 증거를 보여준다. 아티팩트로 결과를 보거나, 관심있는 항목 간의 연결 찾기, 파일 시스템 탐색기를 사용하여 소스로 드릴 다운하거나, 레지스트리를 볼 수 있다. 찾고있는 것을 찾았다면 나중에 보기 쉽게 항목에 태그를 지정하고 증거 조사가 끝나면 결과를 공유할 수 있다. 사용할 수 있는 필터를 사용하여 내보내기에 포함될 항목을 맞춤 설정할 수 있습니다. 증거를 정리한 후 아주 쉽게 여러 가지 형식으로 사례를 내보낼 수 있다. 라고 설명되어있다.

위에 있는 설명들은 필자의 기존 포스팅을 찾아보면 알수 있을 것이다.

---

[ Magnet Axiom System Require ]

Magnet Axiom의 요구 사항이다. 필자는 필자의 노트북을 혹사시키고 있었다. (죄송합니다 노트북님)

c.f ) 최소 사양만 충족한다면 Axiom의 처리 속도가 늦을수 있다.

Require System

필자의 컴퓨터는 Windows 10 Pro, Core4개 짜리인데, 최저사양으로 Magnet Axiom으로 돌리다니 정말 멍청한 짓이었다.

Require System

GPU의 경우에는 일반적인 분석에는 사용되지 않지만, 분석관이 사진분석에서 Magnet Ai 기능을 활성화 했다면 GPU의 사양이 좋아야 할것 이다.

https://blog.system32.kr/69

위 사진에서 확인이 가능하다. Axiom Examine 에서는 사진 파일들을 Ai를 활용해 사진을 분류 할 수 있다.

Require System

메모리는 최소 8기가 이상이며 권장사항은 32기가라고 한다. 필자는,, 8기가다,,

모바일 장치에 IOS장치에는 최신 버전의 iTunes가 필요하다고 설명되어 있다. 그 이유는 Magnet Axiom Ios Forensics의 경우에는 iTunes를 통해 사용자의 증거 아이폰을 백업하고, 그 백업 파일을 가지고 Magnet Axiom은 결과를 분석한다.

그렇기 때문에 최신버전의 iTunes가 필요하다. (사실, 꼭 그런것은 아니지만, 최신버전이 당연히 조금더 좋을것이다.)

---

 

다음 포스팅 부터는 Magnet Axiom의 자세한 사용방법을 포스팅 하도록 하겠다.

일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.

다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)