YeoPEVA
포렌식 툴 정리 본문
대충 내가 어떤 포렌식 툴을 사용하여 실제 CTF, 침해사고대응이라던지.. 분석을 진행할건지 정리해두기로 했다..
사용 예상
이미징 도구 -> FTK lmager
라이브 포렌식 -> FPLIVE_win , IRCR
이미지 마운트 도구 - P2 eXplorer | OSFMount | Arsenal Image Mounter
파일 시스템 메타데이터 - AnalyzeMFT | mft2csv | MFTView
메모리 분석 도구 - Volatillity , Redline
레지스트리 분석 도구 - REGA | RegRipper
타임라인 분석 - Timeliner
링크파일 분석 - Inkanlyser
로그 분석 도구 - NTFS Log Tracker
웹브라우저 사용흔적.. - Chrome | IE | firefox 별로 있어서.. 필요시 그때 마다 찾기로 했다.
프리패치 - APFA, WinPrefetchView
이메일 분석 도구 - Email Utilities
악성코드 + - Pe studio / PE view / PEID
ETC - WinHex | HXD
------------------------------------------------------
위 굵은선은 사용 확정 툴이고, 위 툴들은 반드시 포스팅이 예정되어 있다.
FTK | FTK lmager | FPL
Dumplt
REGA
WinHex | HXD
FTK Imager
NTFS Log Tracker
Volatility
Rekall
Event Viewer
PE view | PEiD
+ TEST | 라이브 CD / VM 종류 한번 체크, 구축 시도
SIFT , PALADIN, DEFT, Helix, BackTrack, C.A.IN.E
종류 - 라이브 포렌식 | 통합 포렌식 도구 | 이미징 하드웨어, 소프트웨어 | 쓰기방지장치 | 이미지 마운트 | 원격 포렌식 | 메모리 | 타임라인 분석
레지스터리 | 파일시스템 | 바로가기 | 로그 등등.. 자세한 것은 밑 링크에 있는 포렌식 - proof 링크를 참고 해주길 부탁한다..
---------------------------------
우선 위 도구들을 중점으로 쓰게 될 것 같고, 추후 툴이 추가된다면 추가하고,
2017-11-26일 기준 툴만 적어두었다. 추후 분야마다 툴 나누어 소개하고, 링크 추가하도록 하겠다.
참고 문헌
http://forensic-proof.com/tools | Kali KM - Forensic Analysis 침해사고 대응 분석 Yuri's 침해사고 분석 보고서