Autopsy는 사전적인 의미로는 (사체) 부검, 검시라는 뜻을 가지고 있다.
Autopsy는 Linux 시스템에서 사용할 수 있는 오픈소스 기반 포렌식 프로그램으로 잘 알려진 sleuth Kit를 Windows 시스템에서 GUI 형태로 이용할 수 있도록 개발된 오픈소스 기반 무료 포렌식 프로그램이다.
Autopsy는 2000년경에 발표된 TCT(The Coroner’s Toolkit)을 기반으로 계속 개발이 이루어져 최근 Autopsy 4.x 단위의 버전에서는 포렌식 조사자가 동일한 사건을 동시에 공동 작업하고 Python 스크립트를 작성하여 기능을 확장할 수 있는 기능까지 제공하고 있다.
Windows와 Linux/UNIX를 비롯한 OS X, Android 등 다양한 운영체제의 파일시스템 내용을 분석할 수 있으며, 검색 및 타임라인 분석, 해쉬 필터링 등의 기능을 제공한다.
그리고 기능 확장을 위한 Add-On 모듈 지원을 통해 Project VIC 및 C4P와 같은 데이터베이스를 통합하여
분석을 하거나 비디오 분석모듈 등의 기능을 추가할 수 있다.
그리고 (사)한국포렌식학회에서 주관하는 디지털포렌식전문가 2급 실기시험에서
EnCase와 더불어 사용되는 Tool로 기억된다.
나는 FTK Tool을 공부하고 시험장에 갔었는데 제공되는
Tool에서는 FTK는 제공되지 않아 당황했었던 적이 있다.
EnCase의 경우 상용 소프트웨어에 다뤄볼 기회도 없었으며
Autopsy또한 Tool을 다룰줄 모르는 상태로 시험을 진행하게 되었는데
이때 EnCase, Autopsy 두가지 Tool을 사용해본 결과
나는 Autopsy가 조금 더 인터페이스 측면에서 보기가 편했으며
다양한 기능들이 제공되었던 것으로 기억된다.
[Autopsy 실행화면]
이제 Autopsy 툴을 다운로드 및 설치 그리고 개인적으로 Tool을 공부해보고자 한다.
'디지털포렌식 > 포렌식 도구' 카테고리의 다른 글
| Autopsy 케이스 생성 및 데이터 소스 추가 해보기 (1) | 2018.04.27 |
|---|---|
| Autopsy 4.3.0 이후 버전에서 Add Data Source가 실행되지 않는 문제(연구중) (2) | 2018.04.22 |
| Autopsy 설치하기 (0) | 2018.04.20 |
| FTK imager로 생성된 사본이미지 정보확인(csv,txt 파일) (0) | 2017.12.06 |
| FTK imager로 디스크 이미지 사본 생성하기 (0) | 2017.12.05 |