Skip to content
문서 목록

수집도구 사용 가이드

수집도구 사용 가이드#

unJaena Collector는 5개 플랫폼에서 400종 이상의 포렌식 아티팩트를 자동으로 수집하는 오픈소스 도구입니다. 이 가이드에서는 각 플랫폼별 수집 방법과 디스크 이미지 지원에 대해 설명합니다.

지원 플랫폼#

플랫폼수집 방법아티팩트 수
Windows수집도구 직접 실행105+
macOS수집도구 직접 실행90+
Linux수집도구 직접 실행65+
iOSiTunes 백업 업로드140+
AndroidADB 추출 업로드51+

디스크 이미지 지원#

수집도구 외에도 다양한 형식의 디스크 이미지를 직접 업로드하여 분석할 수 있습니다.

지원 형식#

형식확장자설명
EnCase.E01포렌식 표준 이미지 형식
VirtualBox.VDIVirtualBox 가상 디스크
VMware.VMDKVMware 가상 디스크
Hyper-V.VHD, .VHDXMicrosoft Hyper-V 가상 디스크
QEMU.QCOW2QEMU/KVM 가상 디스크
macOS.DMGmacOS 디스크 이미지
RAW.raw, .dd, .img원시 디스크 이미지

디스크 이미지를 업로드하면 플랫폼이 자동으로 파일 시스템을 마운트하고 아티팩트를 추출합니다.

Windows 아티팩트 수집#

Windows에서 수집되는 주요 아티팩트 카테고리:

시스템 아티팩트#

  • Prefetch: 프로그램 실행 기록 (C:\Windows\Prefetch\)
  • EventLog: 시스템/보안/애플리케이션 로그 (C:\Windows\System32\winevt\Logs\)
  • Registry: SYSTEM, SOFTWARE, SAM, SECURITY, NTUSER.DAT 하이브
  • $MFT: NTFS 마스터 파일 테이블
  • USN Journal: 파일 변경 저널
  • AmCache / Shimcache: 프로그램 호환성 데이터

사용자 활동 아티팩트#

  • 브라우저 기록: Chrome, Edge, Firefox의 방문 기록, 다운로드, 쿠키
  • 최근 문서: RecentDocs, Jump Lists, LNK 파일
  • Shellbags: 폴더 탐색 기록
  • USB 기록: 연결된 USB 장치 이력

네트워크 아티팩트#

  • 네트워크 프로필: 연결된 네트워크 목록
  • DNS 캐시: DNS 조회 기록
  • SRUM: 시스템 리소스 사용 기록 (네트워크 포함)

수집 실행#

1. unJaena Collector를 관리자 권한으로 실행 2. 수집 범위 선택 (빠른/전체) 3. "수집 시작" 클릭 4. 수집 완료 후 자동 업로드

macOS 아티팩트 수집#

macOS에서 수집되는 주요 아티팩트:

시스템 아티팩트#

  • Unified Log: macOS 통합 로그 시스템
  • FSEvents: 파일 시스템 이벤트 기록
  • Spotlight: 검색 인덱스 메타데이터
  • Launch Agents/Daemons: 자동 실행 설정

사용자 활동 아티팩트#

  • Safari 기록: 방문 기록, 다운로드, 탭
  • Finder 최근 항목: 최근 접근한 파일 및 폴더
  • Quarantine 이벤트: 다운로드된 파일의 출처 기록
  • TCC 데이터베이스: 앱 권한 부여 기록

수집 시 주의사항#

  • macOS는 SIP(System Integrity Protection)로 인해 일부 시스템 파일 접근이 제한됩니다.
  • 전체 수집을 위해 전체 디스크 접근 권한을 부여해야 합니다.
    • 시스템 환경설정 > 보안 및 개인정보 > 전체 디스크 접근에서 unJaena Collector를 추가합니다.

Linux 아티팩트 수집#

Linux에서 수집되는 주요 아티팩트:

시스템 아티팩트#

  • syslog / journald: 시스템 로그
  • auth.log: 인증 관련 로그
  • wtmp / btmp: 로그인 성공/실패 기록
  • crontab: 예약 작업

사용자 활동 아티팩트#

  • bash_history: 셸 명령 기록
  • 브라우저 기록: Chrome, Firefox 데이터
  • SSH 키 및 로그: SSH 접속 기록
  • .recently-used.xbel: 최근 사용 파일 기록

수집 실행#

bash
# 의존성 설치
sudo ./install.sh

# 수집 실행 (root 권한 필요)
sudo ./unjaena-collector --mode full

iOS 기기 수집#

iOS 기기의 데이터는 iTunes 백업을 통해 수집합니다.

사전 준비#

  1. iTunes 드라이버 설치: Windows에서는 Apple 공식 사이트 또는 Microsoft Store에서 iTunes를 설치해야 합니다.
  2. 기기 신뢰: iOS 기기에서 "이 컴퓨터를 신뢰하시겠습니까?" 메시지에서 신뢰를 선택합니다.
  3. 백업 생성: iTunes에서 전체 백업을 생성합니다.

수집 가능한 아티팩트 (140종 이상)#

  • 메시지: iMessage, SMS, MMS
  • 통화 기록: 통화 내역
  • 연락처: 주소록
  • 브라우저: Safari 방문 기록, 북마크
  • 위치 정보: 위치 기록
  • 앱 데이터: 설치된 앱의 데이터베이스
  • 미디어: 사진, 동영상 메타데이터
  • Wi-Fi 연결 기록: 연결된 네트워크 이력

업로드#

  1. 케이스 페이지에서 증거 업로드를 클릭합니다.
  2. iOS 백업 탭을 선택합니다.
  3. 백업 파일이 있는 폴더를 선택합니다.
  4. 업로드가 완료되면 자동으로 파싱이 시작됩니다.

Android 기기 수집#

Android 기기는 ADB(Android Debug Bridge)를 사용하여 데이터를 추출합니다.

사전 준비#

  1. 개발자 옵션 활성화: 설정 > 휴대전화 정보 > 빌드 번호를 7회 탭합니다.
  2. USB 디버깅 활성화: 설정 > 개발자 옵션 > USB 디버깅을 켭니다.
  3. ADB 설치: Android SDK Platform Tools를 설치합니다.

수집 가능한 아티팩트 (51종 이상)#

  • 통화 기록 및 연락처
  • SMS/MMS 메시지
  • 브라우저 기록
  • 앱 데이터: 설치된 앱 목록 및 데이터
  • Wi-Fi 연결 기록
  • 기기 설정 및 계정 정보

추출 및 업로드#

bash
# ADB 연결 확인
adb devices

# 백업 생성
adb backup -apk -shared -all -f backup.ab

# 또는 수집도구 사용
./unjaena-collector --platform android

추출된 파일을 케이스에 업로드하면 자동으로 파싱 및 분석이 시작됩니다.

서버 업로드#

수집된 데이터는 다음 방법으로 서버에 업로드할 수 있습니다:

웹 업로드#

  1. 케이스 페이지에서 증거 업로드를 클릭합니다.
  2. 수집된 아카이브 파일을 드래그 앤 드롭하거나 파일을 선택합니다.
  3. 업로드 진행 상황이 실시간으로 표시됩니다.

수집도구 자동 업로드#

수집도구에 API 키를 설정하면 수집 완료 후 자동으로 업로드됩니다.

업로드 후 처리 과정#

  1. 파싱: 각 아티팩트 유형에 맞는 파서가 자동 실행됩니다.
  2. 인덱싱: 파싱된 데이터가 검색 가능한 형태로 인덱싱됩니다.
  3. 벡터 임베딩: AI 분석을 위한 벡터 변환이 수행됩니다.
  4. 준비 완료: 모든 처리가 완료되면 AI 분석을 시작할 수 있습니다.

처리 시간은 데이터 크기에 따라 다르며, 일반적으로 수 분에서 30분 내에 완료됩니다.