Skip to content
문서 목록

수집도구 사용 가이드

수집도구 사용 가이드#

unJaena Collector는 Windows, macOS, Linux, iOS, Android 5개 운영체제와 AI 활동 범주를 포함해 254개 수집 지원 아티팩트를 처리하는 오픈소스 도구입니다. 이 가이드에서는 각 운영체제별 수집 방법을 설명합니다.

⚠️ 사용 자격 안내 — 본 도구는 다음 중 하나에 해당하는 사용자만 사용할 수 있습니다: (1) 본인 소유 기기에서 본인 데이터를 수집하는 경우, (2) 데이터 주체로부터 서면 동의를 받은 경우, (3) 유효한 영장·법원 명령에 따른 적법한 포렌식 수행자, (4) 적법한 포렌식 위임 계약을 체결한 조사자. 타인 기기에서 무단으로 카카오톡·이메일·SMS·통화내역 등 통신 내용을 수집하는 행위는 「통신비밀보호법」 §3·§16 및 「개인정보보호법」 §71에 따라 형사처벌 대상이 될 수 있습니다. 자세한 내용은 이용약관을 확인하세요.

지원 플랫폼#

플랫폼수집 방법아티팩트 수
Windows수집도구 직접 실행51
macOS수집도구 직접 실행33
Linux수집도구 직접 실행38
iOSUSB 직접 수집 / 백업 파일34
AndroidUSB 직접 수집28
AI 활동 범주지원 운영체제 내 앱·도구 흔적70

Windows 아티팩트 수집#

Windows에서 수집되는 주요 아티팩트 카테고리:

시스템 아티팩트#

  • Prefetch: 프로그램 실행 기록 (C:\Windows\Prefetch\)
  • EventLog: 시스템/보안/애플리케이션 로그 (C:\Windows\System32\winevt\Logs\)
  • Registry: SYSTEM, SOFTWARE, SAM, SECURITY, NTUSER.DAT 하이브
  • $MFT: NTFS 마스터 파일 테이블
  • USN Journal: 파일 변경 저널
  • AmCache / Shimcache: 프로그램 호환성 데이터

사용자 활동 아티팩트#

  • 브라우저 기록: Chrome, Edge, Firefox의 방문 기록, 다운로드, 쿠키
  • 최근 문서: RecentDocs, Jump Lists, LNK 파일
  • Shellbags: 폴더 탐색 기록
  • USB 기록: 연결된 USB 장치 이력

네트워크 아티팩트#

  • 네트워크 프로필: 연결된 네트워크 목록
  • DNS 캐시: DNS 조회 기록
  • SRUM: 시스템 리소스 사용 기록 (네트워크 포함)

수집 실행#

1. unJaena Collector를 관리자 권한으로 실행 2. 수집할 아티팩트를 선택 (기본: 전체 선택) 3. "수집 시작" 클릭 4. 수집 완료 후 자동 업로드

macOS 아티팩트 수집#

macOS에서 수집되는 주요 아티팩트:

시스템 아티팩트#

  • Unified Log: macOS 통합 로그 시스템
  • FSEvents: 파일 시스템 이벤트 기록
  • Spotlight: 검색 인덱스 메타데이터
  • Launch Agents/Daemons: 자동 실행 설정

사용자 활동 아티팩트#

  • Safari 기록: 방문 기록, 다운로드, 탭
  • Finder 최근 항목: 최근 접근한 파일 및 폴더
  • Quarantine 이벤트: 다운로드된 파일의 출처 기록
  • TCC 데이터베이스: 앱 권한 부여 기록

수집 시 주의사항#

  • macOS는 SIP(System Integrity Protection)로 인해 일부 시스템 파일 접근이 제한됩니다.
  • 전체 수집을 위해 전체 디스크 접근 권한을 부여해야 합니다.
    • 시스템 환경설정 > 보안 및 개인정보 > 전체 디스크 접근에서 unJaena Collector를 추가합니다.

Linux 아티팩트 수집#

Linux에서 수집되는 주요 아티팩트:

시스템 아티팩트#

  • syslog / journald: 시스템 로그
  • auth.log: 인증 관련 로그
  • wtmp / btmp: 로그인 성공/실패 기록
  • crontab: 예약 작업

사용자 활동 아티팩트#

  • bash_history: 셸 명령 기록
  • 브라우저 기록: Chrome, Firefox 데이터
  • SSH 키 및 로그: SSH 접속 기록
  • .recently-used.xbel: 최근 사용 파일 기록

수집 실행#

bash
# 실행 (의존성 자동 설치)
chmod +x run.sh
sudo ./run.sh

iOS 기기 수집#

iOS 기기의 데이터는 두 가지 방법으로 수집할 수 있습니다.

수집 방법#

USB 직접 수집: 기기를 USB로 연결하면 수집도구가 자동으로 인식하여 라이브 수집을 진행합니다.

백업 파일 수집: iTunes/Finder에서 이미 생성된 백업이 있는 경우, 해당 백업을 선택하여 수집할 수도 있습니다.

사전 준비#

  1. iTunes 드라이버 설치 (Windows): Apple 공식 사이트 또는 Microsoft Store에서 iTunes를 설치해야 합니다.
  2. 기기 신뢰: iOS 기기에서 "이 컴퓨터를 신뢰하시겠습니까?" 메시지에서 신뢰를 선택합니다.

수집 가능한 아티팩트 (180종 이상)#

  • 메시지: iMessage, SMS, MMS
  • 통화 기록: 통화 내역
  • 연락처: 주소록
  • 브라우저: Safari 방문 기록, 북마크
  • 위치 정보: 위치 기록
  • 앱 데이터: 설치된 앱의 데이터베이스
  • 미디어: 사진, 동영상 메타데이터
  • Wi-Fi 연결 기록: 연결된 네트워크 이력

Android 기기 수집#

수집도구를 실행하고 Android 기기를 USB로 연결하면, 수집도구가 자동으로 기기를 인식하여 데이터를 수집합니다. 루팅된 기기에서는 데이터베이스에 직접 접근하여 더 많은 아티팩트를 수집할 수 있습니다.

사전 준비#

  1. USB 디버깅 활성화: 설정 > 개발자 옵션 > USB 디버깅을 켭니다.
    • 개발자 옵션이 보이지 않으면: 설정 > 휴대전화 정보 > 빌드 번호를 7회 탭합니다.
  2. 기기 연결: USB 케이블로 PC에 연결하고 "USB 디버깅 허용" 메시지에서 허용을 선택합니다.

수집 가능한 아티팩트 (120종 이상)#

  • 통화 기록 및 연락처
  • SMS/MMS 메시지
  • 브라우저 기록
  • 앱 데이터: 설치된 앱 목록 및 데이터
  • Wi-Fi 연결 기록
  • 기기 설정 및 계정 정보

서버 업로드#

수집된 데이터는 다음 방법으로 서버에 업로드할 수 있습니다:

웹 업로드#

  1. 케이스 페이지에서 증거 업로드를 클릭합니다.
  2. 수집된 아카이브 파일을 드래그 앤 드롭하거나 파일을 선택합니다.
  3. 업로드 진행 상황이 실시간으로 표시됩니다.

수집도구 자동 업로드#

수집도구에 수집 토큰을 설정하면 수집 완료 후 자동으로 업로드됩니다.

업로드 후 처리 과정#

  1. 파싱: 각 아티팩트 유형에 맞는 파서가 자동 실행됩니다.
  2. 인덱싱: 파싱된 데이터가 검색 가능한 형태로 인덱싱됩니다.
  3. AI 분석 준비: AI 분석에 필요한 검색 준비가 수행됩니다.
  4. 준비 완료: 모든 처리가 완료되면 AI 분석을 시작할 수 있습니다.

처리 시간은 데이터 크기에 따라 다르며, 일반적으로 수 분에서 30분 내에 완료됩니다.