수집도구 사용 가이드
수집도구 사용 가이드#
unJaena Collector는 Windows, macOS, Linux, iOS, Android 5개 운영체제와 AI 활동 범주를 포함해 650개 이상의 지원 아티팩트 정의를 기반으로 수집·파싱을 수행하고, OpenText EnCase EnScript 기반 선택 증거 업로드도 지원하는 오픈소스 도구입니다. 실제 수집 범위는 플랫폼, 권한, 수집 프로필에 따라 달라집니다.
⚠️ 사용 자격 안내 — 본 도구는 다음 중 하나에 해당하는 사용자만 사용할 수 있습니다: (1) 본인 소유 기기에서 본인 데이터를 수집하는 경우, (2) 데이터 주체로부터 서면 동의를 받은 경우, (3) 유효한 영장·법원 명령에 따른 적법한 포렌식 수행자, (4) 적법한 포렌식 위임 계약을 체결한 조사자. 타인 기기에서 무단으로 카카오톡·이메일·SMS·통화내역 등 통신 내용을 수집하는 행위는 「통신비밀보호법」 §3·§16 및 「개인정보보호법」 §71에 따라 형사처벌 대상이 될 수 있습니다. 직원 PC, 가족 기기, 미성년자 기기, 고객 또는 제3자 데이터는 수집 전 서면 동의, 내부조사 권한, 위임 계약, 법원 명령 등 권한 근거를 먼저 확인하고 보관하세요. 자세한 내용은 이용약관을 확인하세요.
지원 플랫폼#
| 플랫폼 | 수집 방법 | 아티팩트 수 |
|---|---|---|
| Windows | 수집도구 직접 실행 | 51 |
| macOS | 수집도구 직접 실행 | 33 |
| Linux | 수집도구 직접 실행 | 38 |
| iOS | USB 직접 수집 / 백업 파일 | 34 |
| Android | USB 직접 수집 | 28 |
| AI 활동 범주 | 지원 운영체제 내 앱·도구 흔적 | 70 |
| OpenText EnCase | EnScript 선택 항목 업로드 | 선택한 증거 항목 |
EnCase EnScript 통합#
공개 수집도구 패키지에는 OpenText EnCase 워크플로우를 위한 EnScript 진입점과 .NET 브리지가 포함됩니다. EnCase 케이스 안에서 확인한 선택 증거 항목을 인증된 unJaena 수집 세션으로 업로드하는 용도입니다.
- 데스크톱 수집도구와 같은 인증된 수집 세션, 동의 기록, 수집 프로필 검증 흐름을 사용합니다.
- 선택한 파일 내용과 SHA-256 메타데이터, 원본 경로 맥락을 전송하여 이후 파싱과 AI 분석에 연결합니다.
- EnCase의 원본 획득이나 조사관 검증을 대체하지 않으며, 적법한 케이스에서 증거 전송을 보조하는 워크플로우입니다.
Windows 아티팩트 수집#
Windows에서 수집되는 주요 아티팩트 카테고리:
시스템 아티팩트#
- Prefetch: 프로그램 실행 기록 (
C:\Windows\Prefetch\) - EventLog: 시스템/보안/애플리케이션 로그 (
C:\Windows\System32\winevt\Logs\) - Registry: SYSTEM, SOFTWARE, SAM, SECURITY, NTUSER.DAT 하이브
- $MFT: NTFS 마스터 파일 테이블
- USN Journal: 파일 변경 저널
- AmCache / Shimcache: 프로그램 호환성 데이터
사용자 활동 아티팩트#
- 브라우저 기록: Chrome, Edge, Firefox의 방문 기록, 다운로드, 쿠키
- 최근 문서: RecentDocs, Jump Lists, LNK 파일
- Shellbags: 폴더 탐색 기록
- USB 기록: 연결된 USB 장치 이력
네트워크 아티팩트#
- 네트워크 프로필: 연결된 네트워크 목록
- DNS 캐시: DNS 조회 기록
- SRUM: 시스템 리소스 사용 기록 (네트워크 포함)
수집 실행#
1. unJaena Collector를 관리자 권한으로 실행
2. 수집할 아티팩트를 선택 (기본: 전체 선택)
3. "수집 시작" 클릭
4. 수집 완료 후 자동 업로드
macOS 아티팩트 수집#
macOS에서 수집되는 주요 아티팩트:
시스템 아티팩트#
- Unified Log: macOS 통합 로그 시스템
- FSEvents: 파일 시스템 이벤트 기록
- Spotlight: 검색 인덱스 메타데이터
- Launch Agents/Daemons: 자동 실행 설정
사용자 활동 아티팩트#
- Safari 기록: 방문 기록, 다운로드, 탭
- Finder 최근 항목: 최근 접근한 파일 및 폴더
- Quarantine 이벤트: 다운로드된 파일의 출처 기록
- TCC 데이터베이스: 앱 권한 부여 기록
수집 시 주의사항#
- macOS는 SIP(System Integrity Protection)로 인해 일부 시스템 파일 접근이 제한됩니다.
- 전체 수집을 위해 전체 디스크 접근 권한을 부여해야 합니다.
- 시스템 환경설정 > 보안 및 개인정보 > 전체 디스크 접근에서 unJaena Collector를 추가합니다.
Linux 아티팩트 수집#
Linux에서 수집되는 주요 아티팩트:
시스템 아티팩트#
- syslog / journald: 시스템 로그
- auth.log: 인증 관련 로그
- wtmp / btmp: 로그인 성공/실패 기록
- crontab: 예약 작업
사용자 활동 아티팩트#
- bash_history: 셸 명령 기록
- 브라우저 기록: Chrome, Firefox 데이터
- SSH 키 및 로그: SSH 접속 기록
- .recently-used.xbel: 최근 사용 파일 기록
수집 실행#
# 실행 (의존성 자동 설치)
chmod +x run.sh
sudo ./run.sh
iOS 기기 수집#
iOS 기기의 데이터는 두 가지 방법으로 수집할 수 있습니다.
수집 방법#
USB 직접 수집: 기기를 USB로 연결하면 수집도구가 자동으로 인식하여 라이브 수집을 진행합니다.
백업 파일 수집: iTunes/Finder에서 이미 생성된 백업이 있는 경우, 해당 백업을 선택하여 수집할 수도 있습니다.
사전 준비#
- iTunes 드라이버 설치 (Windows): Apple 공식 사이트 또는 Microsoft Store에서 iTunes를 설치해야 합니다.
- 기기 신뢰: iOS 기기에서 "이 컴퓨터를 신뢰하시겠습니까?" 메시지에서 신뢰를 선택합니다.
수집 가능한 아티팩트 (180종 이상)#
- 메시지: iMessage, SMS, MMS
- 통화 기록: 통화 내역
- 연락처: 주소록
- 브라우저: Safari 방문 기록, 북마크
- 위치 정보: 위치 기록
- 앱 데이터: 설치된 앱의 데이터베이스
- 미디어: 사진, 동영상 메타데이터
- Wi-Fi 연결 기록: 연결된 네트워크 이력
Android 기기 수집#
수집도구를 실행하고 Android 기기를 USB로 연결하면, 수집도구가 자동으로 기기를 인식하여 데이터를 수집합니다. 루팅된 기기에서는 데이터베이스에 직접 접근하여 더 많은 아티팩트를 수집할 수 있습니다.
사전 준비#
- USB 디버깅 활성화: 설정 > 개발자 옵션 > USB 디버깅을 켭니다.
- 개발자 옵션이 보이지 않으면: 설정 > 휴대전화 정보 > 빌드 번호를 7회 탭합니다.
- 기기 연결: USB 케이블로 PC에 연결하고 "USB 디버깅 허용" 메시지에서 허용을 선택합니다.
수집 가능한 아티팩트 (120종 이상)#
- 통화 기록 및 연락처
- SMS/MMS 메시지
- 브라우저 기록
- 앱 데이터: 설치된 앱 목록 및 데이터
- Wi-Fi 연결 기록
- 기기 설정 및 계정 정보
서버 업로드#
수집된 데이터는 다음 방법으로 서버에 업로드할 수 있습니다:
웹 업로드#
- 케이스 페이지에서 증거 업로드를 클릭합니다.
- 수집된 아카이브 파일을 드래그 앤 드롭하거나 파일을 선택합니다.
- 업로드 진행 상황이 실시간으로 표시됩니다.
수집도구 자동 업로드#
수집도구에 수집 토큰을 설정하면 수집 완료 후 자동으로 업로드됩니다.
업로드 후 처리 과정#
- 파싱: 각 아티팩트 유형에 맞는 파서가 자동 실행됩니다.
- 인덱싱: 파싱된 데이터가 검색 가능한 형태로 인덱싱됩니다.
- AI 분석 준비: AI 분석에 필요한 검색 준비가 수행됩니다.
- 준비 완료: 모든 처리가 완료되면 AI 분석을 시작할 수 있습니다.
처리 시간은 데이터 크기에 따라 다르며, 일반적으로 수 분에서 30분 내에 완료됩니다.
서비스에서 바로 이어서 확인하세요
문서에서 본 흐름을 샘플 분석 또는 실제 업로드 화면에서 이어갈 수 있습니다. 실제 증거는 적법한 권한이 있을 때만 업로드하세요.