Autopsy 케이스 생성 및 데이터 소스 추가 해보기

Autopsy 버전은 4.3.0 버전을 기준으로 진행이 된다.

먼저 Autopsy를 실행해보면 다음과 같이 모듈이 로드 되면서 실행이 된다.

그리고 가장 먼저 나오는 창은 case 관련된 창을 맞이하게 된다.

다른 포렌식 툴 역시 마찬가지로 기본적으로 데이터를 분석하기 위해서는

케이스 생성을 먼저 하고 그 후에 데이터를 로드해서 분석하게 되는 것이다.

Create New Case : 새로운 케이스 생성

Open Recent Case : 가장 최근에 실행된 케이스 열기

Open Existing Case : 다른 케이스 불러오기 (기존에 생성했었던 케이스들을 불러올 때 사용)

처음 설치하고 나서는 최근에 실행된 케이스가 없기 때문에 Open Recent Case 는

활성화가 되어있지 않을 것이다.

새로운 케이스를 생성해보자.

Create New Case를 눌러보면 아래와 같이 케이스 정보를 입력하는 창이 나온다.

Case Name에는 우선은 임의로 생성을 하면 되고 나중에 실전에서는 사건 이름이나

기타 자신이 잘 알아볼 수 있게 이름을 생성하면 된다.

Base Directory는 케이스를 저장할 경로를 설정할 수 있는 칸이다.

** 여기서는 임의로 한글 폴더에 저장을 했지만 확인 결과 해당 케이스를 종료한 후 다시 케이스를 불러오면 에러가 발생한다. 한글로 된 폴더에서 케이스를 불러오려면 에러가 발생하게 되는것으로 보인다.

필히 영문으로 된 폴더로 지정할것 ( 예: C:\ )

Case Type은 현재는 윈도우에서 실행하는 것이라 Single-user만 선택이 된다.

리눅스에서 실행이 된다면 Multi-user도 선택할 수 있을 것이다.

(Autopsy는 리눅스 기반)

그리고 Next를 눌러주면 아래와 같이 Case number 및 examiner(조사관)를 입력하는 창이 나온다.

Case Number에는 실무에서는 사건 번호를 입력하면 될 것이고

Examiner는 사건을 조사하는 조사관(본인)을 적고 Finish를 누르면 케이스 생성이 완료된다.

(여기서는 임의로 만듦)

케이스 생성이 완료되면 이제 사본 이미지를 불러 올 수 있는 창이 나타난다.

Select data source type

데이터 소스의 타입을 선택할 수 있으며 아래와 같이 4가지로 분류된다.

Disk image or VM File (디스크 이미지 or 가상머신 파일)

Local Disk (로컬디스크)

Logical files (논리적 파일들)

Unallocated Space Image File (할당되지 않은 공간의 이미지 파일)

조사를 위해 생성한 사본이미지는 Disk image or VM File로 불러올 수 있으므로 현재는 이 상태 그대로 사용할 것이다.

이제 browse 버튼을 눌러 이미지 사본이 있는 경로를 설정해 준다.

(여기서는 실습용으로 받아뒀던 이미지가 있어서 그것을 사용했음)

그리고 밑에 Timezone을 설정할 수 있는데 이 부분은 우리가 국내에서 분석을 진행하고 있기 때문에 Asia/Seoul로 맞춰주면 된다.

(시간 설정을 잘못하면 나중에 분석시 시간이 맞지 않아 고생할 수 있다.)

ignore orphan files FAT file system 이 옵션은 FAT 파일 시스템에 고아 파일들을 무시하겠느냐는

옵션으로 일부파일이 검색은 안되지만 빠른 결과를 나타낼 수 있다.

지금은 사용할 일이 없으므로 이 부분은 넘어간다.

여기서는 사용하고자 하는 기능들을 설정할 수 있는 창이 나온다.

최근 활동 기록이나 키워드 검색, 파일 유형 식별, hash 값, 올바르지 않은 확장자 찾기 등

여러가지 옵션을 추가하거나 제외 가능하다.

Next를 누르면 이제 소스 데이터 추가가 완료 된다.

Finish 버튼을 눌러 주면 이제 데이터 사본을 확인해서 안에 어떠한 데이터들이 있는지

볼 수 있도록 도와준다.

[데이터 소스가 추가된 화면]