Forensics/Magnet AXIOM

MAGNET Axiom - User Guide (Korean) #2 케이스 정보 & 증거 소스

pental 2020. 1. 15. 22:53

[ Magnet Axiom Process ]

(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!

중요한 단계만 보려면 굵은 글씨를 따라가도록 하자.

#1 - Open Magnet Axiom Process

Magnet Axiom Process 프로그램을 실행해준 초기 모습이다.

Magnet AXIOM Process를 통해 포렌식 이미지를 수집하고 동일한 인터페이스에서 해당 이미지를 모두 스캔할 수 있다. 스캔을 구성하고 시작하기 전에 수집이 완료될 때까지 기다릴 필요가 없으므로 시간을 절약할 수 있는 장점이 있다.

Magnet AXIOM Process는 다양한 종류의 이미지와 장치에서도 스캔을 실행할 수 있다.

Magnet AXIOM Process가 처리한 모든 증거는 사례에 저장된다. 하나의 사례에 여러 모바일 장치, 드라이브, 이미지 및 클라우드 기반 소셜 미디어 플랫폼을 포함시킬 수 있다. (참고: 처리하려는 증거가 많을수록 스캔 시간이 길어진다.)

필자의 경우 노트북을 혹사시키는 과정을 거치고 있다. 권장 램이 32기가인데 8기가로 돌린뿐만 아니라 논리 코어의 권장사항은 16개인데 필자는 4개뿐이다..

그 다음 섹션에서는 스캔 설정 및 실행과 관련된 단계에 대해 설명한다.

필요한 단계를 건너 뛰면 Magnet AXIOM Process는 경고 기호로 플래그를 나타낸다. 모든 단계가 완료되어야 시작할 수 있다.

#2 - Magnet Axiom Process Warning Flag

1. 사례 시작하기

2. 사례 세부 정보

3. 증거 소스

4. 처리 세부 정보

5. 아티팩트 세부 정보

6. 증거 분석

본격적으로 디지털 포렌식이 시작된다.

[ 1. 사례 시작하기 ]

Magnet AXIOM Process를 처음 열면, 새 사례를 만들고 기존 사례에 증거를 추가하거나 최근 사례를 열 수 있다.

#3 - Deatil of Case

(참고: 기존 사례에 증거를 추가하기로 선택한 경우 사례 번호, 검색 유형, 키워드 목록 등과 같은 특정 정보는 원본 스캔의 설정에 따라 잠긴다.) 참고하도록 하자.

[ 2. 사례 세부 정보 ]

이 섹션에서는 사례 번호, 폴더 이름 및 위치 및 기타 사례 세부 정보와 같은 사례에 대한 기본 정보를 지정한다고 하는데 위의 [ 사례 시작하기 ] 와 동일하다고 보면 된다.

[ 3. 증거 소스 ]

이 섹션에서는 증거 소스(컴퓨터, 모바일 또는 클라우드)를 지정하고 증거를 수집 또는 로드할 것인지를 지정한다.

Magnet AXIOM Process에서 컴퓨터 드라이브, 모바일 장치 또는 클라우드 기반 소셜 미디어 플랫폼의 이미지를 만들려면 증거를 수집해야한다. 이때 이미징을 하려면 Magnet Acquire를 사용하도록 하자

기존 포렌식 이미지, 파일 또는 폴더를 업로드 하는 경우에는 증거를 로드하도록 선택하고, 포렌식 이미지가 여러개인 경우 모두 동일한 사례에 추가할 수 있다.

#4 - Type of Digital Evidences

[ 3.1 증거 수집 ]

Magnet AXIOM Process는 다음 유형의 장치로부터 증거를 수집하고 처리할 수 있다.

  • 다음을 포함한 드라이브 : HDD, SSD, USB 및 SD 플래시 드라이브. 및 기타 외장형 드라이브. AXIOM Process는 Windows, OS X 및 Linux를 지원한다.
  • 디지털 카메라, 피처 폰 및 Android, iOS, BlackBerry 및 윈도우 폰 같은 스마트 폰을 포함하여 MTP (미디어 전송 프로토콜)를 지원하는 미디어 장치.

Android 기기

  • 빠른 이미지의 경우 장치에서 Android 2.1 이상을 실행해야 한다.
  • 전체 이미지의 경우 AXIOM Process는 장치에 대한 루트 액세스 권한이 필요하다.

iOS 기기

  • 빠른 이미지의 경우 장치에서 iOS 5.0 이상을 실행해야 한다.
  • 전체 이미지의 경우 장치가 탈옥되어 있어야 한다.

 

  • 다음을 포함한 클라우드 기반 소셜 미디어 플랫폼 : Apple, Box.com, Dropbox, IMAP / POP 이메 일, Facebook, Google, Instagram, Microsoft 및 Twitter.

[ 3.2 증거 로드 ]

Magnet AXIOM Process는 자체 이미지 외에도 여러 가지 유형의 증거 소스를 스캔할 수 있다. 컴퓨터 소스의 경우 다음의 소스를 로드할 수 있다.

연결된 드라이브 )

  • 해당 옵션은 HDD, SSD, USB 및 SD 플래시와 같은 다양한 유형의 드라이브에 사용할 수 있다. Magnet AXIOM Process는 Windows, Linux 또는 OS X을 실행하는 드라이브를 지원한다.

파일 & 폴더 )

  • 해당 옵션은 컴퓨터에 로컬로 저장된 파일 또는 폴더와 함께 사용할 수 있다. 해당 옵션은 Windows, Linux 및 OS X의 파일 및 폴더를 지원한다
  • 참고 ) 매핑된 드라이브를 볼 수 없는 경우 폴더 브라우저를 사용해 매핑된 파일의 원래 위치를 탐색하거나 레지스트리에 DWORD 값을 추가하여 표시되도록 할 수 있다. DWORD 값을 만드는 방법에 대한 자세한 내용은 매핑된 드라이브 표시를 참조해라. 모바일 OS의 파일 및 폴더의 경우 모바일 증거 소스 옵션을 대신 사용하자.

컴퓨터 이미지 )

  • 해당 옵션은 다양한 유형의 컴퓨터 이미지와 함께 사용할 수 있다.
  • Magnet AXIOM Process에서 지원하는 이미지에 대한 자세한 내용은 아래 표를 참조하도록 하자.

볼륨 섀도 복사본 )

  • 해당 옵션은 연결된 드라이브 또는 이미지에 있는 볼륨 섀도 복사본 파일을 찾는 데 사용할 수 있다.

모바일 소스 )

  • 해당 옵션은 모바일 장치에서 이미지와 파일 및 폴더를 처리하는 데 사용할 수 있다.
  • Magnet AXIOM Process는 Android, iOS, Windows Phone 및 Kindle Fire를 지원한다.

\\drive\\folder 형식을 사용해 네트워크 드라이브에 대한 경로를 제공하여 네트워크 드라이브의 이미지를 검색할 수도 있다.

클라우드 소스의 경우 다음 소스를 로드할 수 있다.

AXIOM USB 라이센스 )

  • 해당 옵션을 사용하여 수집된 AXIOM Cloud 이미지를 로드할 수 있다.

Google 테이크 아웃 )

  • 해당 옵션은 Google 테이크 아웃 아카이브를 만들 때 생성되는 mbox 파일 및 .zip 파일에 사용할 수 있다.

iCloud 백업 )

  • 해당 옵션은 암호화되거나 암호화되지 않은 iCloud 백업에 대해 생성 된 manifest.plist 파일에서 사용할 수 있다.

지금까지 한 설명을 사진을 통해서 알아보자.

먼저 #4의 사진에서 볼수 있듯이 컴퓨터, 모바일, 클라우드를 선택할수 있다.

#5 - Digital Evidence - Computer

컴퓨터의 경우 Windows Mac 두가지 경우로 나뉘어져 있다.

먼저 Windows를 선택해보자.

#6 - Digital Evidence - Computer

증거 로드증거 인식 두가지를 선택 할 수 있다. 먼저 증거 로드를 살펴보도록 하겠다.

#7 - Compuer - Type of Evidence

증거로 사용할수 있는 것들은 드라이브, 이미지, 파일 및 폴더, 볼륨 섀도 복사본, 메모리를 선택할 수 있다.

메모리의 경우 이전 포스팅에서 언급했으니 더욱 자세하게 알고 싶다면, 찾아보도록 하자.

그럼 증거 인식은 물리 메모리 인식일까?

#8 - Evidence Recommend

그렇다 증거 인식은 물리 메모리 인식이다. 아마 물리 메모리를 그 자체로 분석하는거 같다. (물론 이미징 하겠지)

#9 - Imaging

확실하다. 증거 인식을 통해 물리 메모리를 선택하면 #9의 사진과 같이 E01, Raw 처럼 이미징 할 수 있다.

 

다음은 Mac 를 살펴보도록 하자.

Mac은 비교적 단순하다.

#10 - Mac Evidence Source Choose

이미지 파일 업로드 또는 파일 및 폴더 선택, 2가지의 선택권 밖에 없다. Mac Memory Forensics 기능도 있었다면 좋았을 텐데,,

다음은 모바일 을 살펴보도록 하자. 모바일은 어마어마한 기능을 가지고 있다.

#11 - Mobile Evidence

Android, IOS, Windows Phone, Kindle Fire, MTP, Sim Card 까지 지원한다니, 유료 툴인 이유가 있다..

너무 자세하게 파고 들진 않겠다, 위의 컴퓨터 처럼 단순히 이미지 파일 업로드 또는 파일 및 폴더 선택 기능밖에 존재 하지 않는다.

클라우드 도 마찬가지로 이미지 파일 업로드 또는 파일 및 폴더 선택 기능밖에 존재 하지 않기 때문에 따로 언급하지는 않겠다.

 

#12 - Addtional Information

아까 매핑된 드라이브 에 관해서 언급하지 않았나? 그럼 매핑된 드라이브는 어떻게 파악할까? 아래에서 확인해보자.

매핑된 네트워크 드라이브가 나타나지 않는 경우가 있다. 매핑된 드라이브를 표시하려면 컴퓨터 레지스트리에 DWORD 키를 추가한 다음 컴퓨터를 다시 시작해야한다.

경고: 해당 방법을 시행하면 컴퓨터에 보안 위험이 발생할 수 있다. 레지스트리에 키를 추가하면 컴퓨터에 악성 코드가 더 쉽게 액세스할 수 있다.

딱히 추천하지 않는 방법인데, 매핑된 드라이브가 있다면 어쩔수 없이 레지스트리를 건들어야 한다.

 

1. 컴퓨터의 작업 표시 줄에 있는 검색 창에 "regedit"을 입력

#13 - Run - regedit

2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 이동

#14 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

3. 시스템을 마우스 오른쪽 버튼으로 클릭하고 새로운 > DWORD 값을 클릭

#15 - Add New DWORD

4. EnableLinkedConnections를 값 이름으로 입력

#16 - Name : EnableLinkedConnections

5. EnableLinkedConnections 값을 마우스 오른쪽 단추로 누르고 수정을 클릭

#17 - Modify

6. 값 데이터 필드에 1을 입력

#18 - Value : 1

7. 확인을 클릭.

8. 컴퓨터 재부팅

[ 지원되는 증거 소스 ]

증거 소스 지원
컴퓨터 Windows, OS X, Linux
모바일 Android, iOS, Kindle Fire, Windows Phone, MTP를 지 원하는 미디어 장치
클라우드 Apple, Box.com, Dropbox, IMAP/POP email, Facebook, Google, Instagram, Microsoft, Twitter

 

일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.

다음 포스팅 부턴, 증거 추가에 사용할수 있는 특별한 기능들에 대해서 설명하도록 하겠습니다.

다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)

 

저작자표시