Autopsy

Autopsy 세팅

• Timezone 설정 매우 중요 ★
• 분석 기능(Ingest Module) 선택 - Plaso분석 제외하고는 모두 선택해주는 것이 좋음 (Plaso는 오래걸림...)

좌측 메뉴 구성

• Data Sources : 디스크 이미지 파일 시스템 내부 구조 확
  •  파일 시스템 확인 및 데이터 추출 
  • $MFT분석 → 생성, 수정, 접근 시간 표시
  • 나열된 파일 우클릭 → 추출
• File View : 전체 파일을 파일타입/삭제여부/크기 따라 조회
  • 확장자와 MIME Type(파일 구조) 따라 파일 조회 
  • 삭제된 파일 모아서 확인 
  • 크기 별로 모아서 확인 
• Data Artifacts : Windows 아티팩트 분석 결과 조회
  • 수집한 아티팩트 목록
  • 파일의 출처 확인 필요 (같은 아티팩트로 분류해도 출처 다를 수 있음)
• Analysis Result : 추가 분석 정보 조회
  • 초기 화면에서 선택한 분석 기능들의 결과 출력 
  • Ingest Module 기능 참고 
  • EXIF는 JPEG 파일 포맷에서 사진 촬영 시간, 날짜, 카메라 모델 & 설정, 지리적 위치 등 데이터가 저장되는 메타데이터를 말한다. 
• Score : 수상한 파일 조회
• Reports : 분석 내용 중 리포트에 추가한 내용들 확인
• Tags
  • 우클릭 Add Result Tag 로 태그 추가 가능
  • 추가된 태그는 Tags 메에서 확인 가능 

Timeline 생성 

상단의 Timeline 버튼. 아티팩트에서 발견된 시간 정보를 표로 정리해서 보여줌 

• 해당 PC가 주기적으로 사용되던 PC인지, 사건 발생 시간은 대략 언제일지 예측 가능 
• 사건 발생 시각을 알 경우 해당 시각 전후 발생 행위에 대해 파악 가능 
• 여러 아티팩트를 시간 순으로 정렬해 나타내기에 관련 아티팩트에 빠르게 접근 가능 

파일 시스템 이벤트 ON/OFF 가능, 그래프가 아닌 리스트 형식으로 표시 가능