Eric Zimmerman 도구들 통합 이용 가능한 수집/분석 도구 

폴더 구성 

  • Targets : 수집 대상 지정 폴더. tkape라는 확장자 파일로 지정 가능
  • Modules : 분석 방법 지정 폴더. mkape라는 확장자 파일로 분석도구·커맨드 지정
  • kepe.exe : KAPE CLI도구
  • gkape.exe : KAPE GUI도구
  • Get-KAPEUpdate.ps1 : KAPE 최신버전 업데이트 (Power shell)
    이런 멘트가 뜰 텐데, 보안 문제로 스크립트 실행이 막히는 것이다.
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process로 현재세션에서만 권한을 일시적으로 허용시켜준다,

수집 자동화

디스크 이미지를 마운트 해야 KAPE를 이용한 분석이 가능하다. 호환성때문에 Arsenal Image Mounter를 사용한다.

마운트 된 모습

두번째 이미지 처럼 세팅해두고 execute를 선택하면 자동으로 수집된다.

버전 문제인지 모니터 크기의 문제인진 모르겠는데 표시해둔 저 위치 즈음에 excute 가 존재한다... 어찌할 도리가 없기에 CLI환경에서 커맨드 라인으로 실행해보자...

된 것 같다..가 아니라 안된 것 같은데? 관리자 권한이 필요하다네요

관리자로 열어주면 수집이 11초만에 완료된 것을 확인할 수 있습니다 ta-da

tkape

수집하는 파일의 목록을 Target이라고 부른다. Target 정의를 위해서는 .tkape 확장자를 가진 파일의 작성이 필요하다. KAPE에서는 여러 종류의 tkape파일을 제공하고 있다.

Windows 경로의 prefetch.tkape

Description과 Author는 tkape의 메타데이터이다.
ID 필드는 중복되어선 안되는 값이다. 새 tkape 파일을 작성할 때 값의 일부를 임의로 바꾸어 주면 된다.
Targets의 Path와 FileMask에는 와일드카드 * 을 사용할 수 있다. 
 
Name은 아티팩트에 대한 이름, Category는 아티팩트를 분류하는 카테고리, Path는 아티팩트가 존재하는 경로, FileMask는 경로에서 파일 선택 시 이용하는 필터링 조건이다. 자세한 내용은 이 분의 블로그를 참고하면 된다.
 
?Compound Targets : 이해한 바로는 이미 정의된 tkape 파일을 재활용해서 한번에 때려넣을 수 있는 tkape를 만드는 것

일반적으로 수집되는 아티팩트들

  • $MFT : 파일 시스템 구조 확인
  • $LogFile : 파일 시스템 내 파일 생성, 이동, 삭제
  • $UsnJrnl : 파일 시스템 내 파일 생성, 이동, 삭제
  • Event Logs : 시스템 이벤트 기록, 보통 하나 이상의 이벤트 로그에 기록 남김  
  • Prefetch : 응용 프로그램 실행 기록
  • Registry : 레지스트리 하이브, Shellbags, MUICache, SRUM등 다양한 세부 아티팩트도 존재하기에 수집이 필수
  • RecycleBin : 휴지통 흔적
  • setupapi : USB... 장치 연결 흔적
  • 브라우저 아티팩트 : Chrome, Edge 등 주요 브라우저 히스토리
  • 자동실행 : 시스템 부팅 시 자동 실행되는 프로그램 및 스크립트 

위 아티팩트들을 수집하는 tkape를 수집 전에 미리 작성해두고, 적절히 수정하여 이용하면 효과적이다. 

분석 자동화

분석을 수행하는 각각의 단위를 Module이라고 한다. 모듈은 수집한 파일을 분석할 수 있는 도구와 명령어이다. 
보통 아티팩트 이름으로 검색 시 도구를 찾을 수 있지만 USBDevicesLog(setupapi.dev.log)는 도구가 별도로 존재하지 않는다.

실행 결과 중 $MFT의 분석 결과이다.

 
Logtraker를 디렉토리에서 찾을 수 없다고 뜬다. 공식홈페이지에서 CMD 버전을 다운로드하여 KAPE\Modules\bin에 넣어준다.
경로를 제대로 찾아야 하므로 모듈의 경로도 수정해준다. 

오류 없이 수행된 것을 확인할 수 있다.

mkape

분석 프로그램과 분석 커맨드를 설정해 수집한 아티팩트와 자동으로 연결할 수 있게 하는 파일이다. 
색으로 표시해둔 곳은 환경변수로, 각각 Module source와 Module destination으로 매핑되며 kape가 프로그램을 실행할 때 입력한 값이다. 

mkape 파일에서 %sourceFile%경로에서 분석대상파일을 검색하는 것은 하위폴더를 재귀적으로 탐색한 후  FileMask를 적용하는  방식이기 때문에, FileMask를 엄격하게 지정해주어야한다. 

mkape도 tkape처럼 mkape파일을 가져다 사용할 수 있는 compound 형식이 존재한다.

저작자표시 비영리 변경금지 (새창열림)

'Forensic' 카테고리의 다른 글

활성 시스템  (0) 2026.03.30
Autopsy  (0) 2026.03.21
NTFS 파일 시스템  (0) 2026.03.18
윈도우 서치 Window Search  (0) 2026.03.18
FAT 파일 시스템  (0) 2026.03.18

티스토리툴바