MAGNET Axiom - User Guide (Korean) #3 상세 분석 정보

[ Magnet Axiom Process ]

(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!

참고 ) 본  Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다!

중요한 단계만 보려면 굵은 글씨를 따라가도록 하자.

#1 - Logo Image

https://blog.system32.kr/77?category=760574

MAGNET Axiom - User Guide (Korean) #2 증거 선택

여기서 필자는 지원되는 증거 소스까지 다뤘었다.

그럼 오늘은 어떤걸 포스팅 할것이냐? 바로 증거 분석전 세팅에 대해서 알아보겠다.

#2 - 지원되는 기능

위 세가지 기능에 대해서는 따로 언급하지 않겠다.

#3 - 지원되는 기능

지원되는 기능에 대해서는 위 사진을 참고하도록 하자.

그럼 상세하게 서술 #3의 사진부터 설명 해보겠다.

---

[ 해시 값 계산 ]

증거 소스에는 수사에 중요한 파일과 관련이 없는 수천 개의 파일이 포함될 수 있다.

각 파일을 검색하여 분류하면 시간이 오래 걸릴 수 있고, 모든 파일에 대한 해시 값을 계산하고 알려진 파일의 해시 집합을 가져옴으로써 Magnet AXIOM Process가 자동으로 사용자를 검색하고 분류한다.

---

• 모든 파일의 해시 값 계산

Magnet Axiom Process가 스캔하는 동안 Magnet AXIOM Process는 각 파일에 대해 고유한 해시 값을 계산할 수 있다.

Magnet AXIOM Examine에서 알려진 해시 집합 (예: NSRL 해시 집합)을 기반으로 파일을 빠르게 검색, 비교 또는 필터링할 수 있다.

해시 집합에는 MD5 및 SHA1 형식이 모두 포함될 수 있다. (여담이지만 MD5의 경우 알고리즘이 이미 깨졌지 때문에 실무에서는 SHA-1, SHA-256 같은게 주로 사용된다.)

#4 - 모든 파일의 해시 값 계산

---

• 일치하는 해시 값이 있는 태그 파일

빠르게 확인하려면 사례에 관심이 있는 파일의 해시 값 목록을 가져올 수 있다.

해시 집합은 MD5 또는 SHA1 해시 (예: NSRL 파일)가 포함된 .txt 파일이어야 하며 각 해시는 별도의 행에 있어야 한다.

해시 집합을 추가한 후에는 파일에 적용되는 태그를 제공할 수 있다. 매칭 파일도 파일 시스템 탐색기에서 계속 볼 수 있다.

#5 - 일치하는 해시 값이 있는 태그 파일

---

• 관련 없는 파일 무시

아이콘, 바탕 화면, 시스템 파일 등의 일반적인 운영체제 파일이 증거를 복잡하게 하는 것을 원하지 않으면 해시 집합에 해시 값을 제공하여 제외시킬 수 있다.

해시 집합은 MD5 해시가 포함된 .txt 파일이어야 한다. (예: NSRL 파일)

해시 집합을 추가한 후에는 파일에 적용되는 태그를 제공할 수 있으며, 파일이 아티팩트 탐색기에서 제외되었더라도 파일 시스템 탐색기에서 해당 파일과 해당 태그에 적용된 태그를 계속 볼 수 있다.

#6 - 관련 없는 파일 무시

---

[ 사진 및 동영상 분류 ]

수천 개의 사진과 비디오가 포함된 증거 자료는 일반적이다.

모든 사진과 비디오를 보고 이를 하나씩 분류하는 작업은 시간이 많이 걸리지만 알려진 사진과 비디오의 해시 집합을 가져와서 Magnet AXIOM Process는 자동으로 검색하고 분류한다.

#7 - Magnet.AI로 사진 범주화

#8 - 해시 값으로 사진 및 비디오 분류

#7, #8 번의 사진에 대해서는 자세하게 설명하지 않고, 궁금하다면 사진속 글을 자세히 읽어보도록 하자.

---

• CPS의 데이터와 일치하는 증거 검색

아동 구조 연합(Child Rescue Coalition)의 아동 보호 시스템 (CPS: Child Rescue Coalition)은 어린이를 보호하기 위해 IP 주소, 파일 해시, 개인 대 개인 사용자 GUID 등과 같은 개인 간 활동을 추적하는 온라인 데이터를 수집한다.

.csv 파일을 Magnet AXIOM Process으로 가져와 CPS 의 증거를 사례에 추가할 수 있다.

.csv 파일을 Magnet AXIOM Process로 가져오고 케이스를 처리하면 Magnet AXIOM은 해당 CPS 내보내기에서 데이터와 일치하는 사례 증거를 자동으로 식별하고 태그를 붙인다.

#9 - 검색에 CPS 데이터 추가

방법은 아래와 같다.

1. Magnet AXIOM Process의 검색을 위해 CPS 데이터 추가 섹션에서 검색할 키워드 추가를 클릭

2. CPS 내보내기 파일 추가를 클릭

3. 추가하려는 CPS 파일을 찾아 열기를 클릭

처리가 완료되면 Magnet AXIOM Examine이 아티팩트 및 파일 시스템 탐색기에서 일치하는 데이터에 태그한다.

---

• Project VIC 또는 CAID 파일 로드

Magnet AXIOM Process는 Project VIC 및 CAID에서 .json 파일 가져오기를 지원한다.

Project VIC와 CAID는 아동 범죄와 관련된 매체를 식별할 목적으로 법 집행 기관 간에 해시 집합를 공유할 수 있는 기관이다. 이러한 해시 집합을 Magnet AXIOM Process로 가져와 스캔하는 동안 사진과 비디오를 자동으로 식별하고 분류할 수 있다.

Project VIC 파일은 표준 프로토콜을 따르고 1-10 사이의 숫자로 사진과 비디오를 분류하는 .json 파일이다.

Project VIC에 대한 자세한 내용은 http://www.projectvic.org/ 를 참조하도록 하자.

스캔이 완료되면 Magnet AXIOM Examine를 통해 조회수를 얻는 각 범주 번호를 미디어 범주 필터에 추가한다.

PhotoDNA가 "퍼지 매칭"을 사용하여 더 많은 그림을 식별하도록 할 수도 있다. PhotoDNA가 활성화되면 Magnet AXIOM Process는 기존의 Project VIC 사진과 비슷한 사진을 식별하고 같은 방식으로 범주화할 수 있다.

Project VIC 데이터 내보내기에 대한 자세한 내용은 증거 공유 및 저장을 참조하도록 하자.

---

• 해시 집합 로드

해시 집합은 MD5 및 SHA1 해시가 포함된 .txt 파일이어야 하며 각 해시는 자체 회선에서 신고되어야 한다.

해시 집합을 추가하면 Magnet AXIOM Process가 파일에서 찾은 사진에 적용되는 범주 이름을 제공 할 수 있다.

스캔이 완료되면 Magnet AXIOM Examine을 통해 조회수를 얻는 범주를 미디어 범주 필터에 추가한다.

---

[ 추가 아티팩트 찾기 ]

검색 동안, Magnet AXIOM Process는 Magnet AXIOM에서 현재 지원하지 않는 애플리케이션의 SQLite 데이터베이스를 검색할 수 있다.

이러한 데이터베이스에서 데이터를 추출하도록 AXIOM을 구성할 수 있다.

경고: 이 기능을 켜면 스캔 시간이 오래걸릴 수 있으니 참고하도록 하자.

1. 처리 세부 사항에서 더 많은 아티팩트 찾기를 클릭

2. 더 많은 아티팩트 검색 AXIOM 허용 옵션을 선택

#10 - 동적 앱 찾기 사용

---

일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.

다음 포스팅 부턴, 아티팩트 세부 정보에 대해서 설명하도록 하겠습니다.

다른 추가적인 문의나 오탈자는 pental@kakao.com 로 보내주시면 감사하겠습니다. :)