FTK를 이용한 컴퓨터 포렌식

FTK 는 정보 보호, 정보 기술, 법 집행 분야에 근무하는 전문가의 작업 지원을 위해 개발된 완벽한 디지털 조사 플랫폼이다.

필터와 인덱싱 엔진에 사용된 혁신적인 기술로, 사건 조사와 관련된 증거에 빠르게 접근할 수 있고, 분석 시간을 매우 단축시킬 수 있다.

디지털 포렌식 조사는 다음 절차를 따른다.

ㅇ 준비

ㅇ 수집과 보존

ㅇ 분석

ㅇ 보고서와 제출

컴퓨터 포렌식 툴은 하드 드라이브 용량 증가에 따른 주소 문제와 데이터 수집 및 분석 시간을 줄이기 위한 암호화 사용 같은 문제를 해결하기 위해 지속적인 업데이트가 필요하다.

AccessData 에서는 다음과 같은 두 가지 버전을 제공한다.

FTK 포렌식 - FTK 포렌식은 컴퓨터 하드 드라이버, USB 드라이버, 플래시 메모리

                 장치, 스마트폰 태블릿 등과 같은 여러 디지털 기기의 데이터를 수집

                 하고 분석하는 기능을 갖고 있다.

                 FTK 포렌식 접근 방법은 컴퓨터 전원이 꺼질 때 발생하는 사후 컴퓨터

                 포렌식이라는 프로세스와 관련 있다.

AD 엔터프라이즈 - FTK 포렌식 버전과 같은 기능을 갖고 있고, 게다가 회사의 여러

                        컴퓨터를 동시에 분석할 수 있는 기능을 갖고 있다. 

                        AD 엔터프라이즈 버전의 또 다른 주요 기능은RAM 같은 휘발성

                        데이터를 수집하고 분석하는 기능이다. 조사 과정은 매우 은밀하게

                        진행되며, 네트워크를 통해 조사 대상 장비를 조사하더라도 조사

                        대상자는 분석 사실을 알지 못한다.

FTK 다운로드

FTK 플랫폼을 구입하면 AccessData 는 일반적으로 제품 설치를 위한 DVD 와 제품 라이선스가 있는 동글 코드미터 하드웨어를 보내준다.

받지 못했다면 AccessData 웹사이트에서 직접 FTK 를 다운로드 할 수 있다. 다른 모든 제품 또한 다운로드가 가능하다.

http://accessdata.com/product-download 에서 다운로드 할 수 있다.

FTK 요구 사항

FTK 설치를 위한 다음과 같은 두 가지의 설정이 있다.

ㅇ 한 대의 머신 - FTK 와 데이터베이스를 동시 설치

ㅇ 두 대의 머신 - 각 머신에 FTK 와 데이터베이스를 따로 설치

일반적으로 FTK 와 PostgreSQL 사용을 위한 기본사양은 다음과 같다.

소프트웨어
운영체제	서버 2008 R2 / Windows 7 (64bit)
하드웨어
프로세서	인털 i7 코어, 코드코어 제논(Xeon), 또는 비슷한 사양의 AMD CPU
메모리	32GB 또는 그 이상
운영체제/애플리케이션 드라이버	64MB 캐시를 가진 7200RPM 드라이브 또는 SSD 드라이브
PostgreSQL DB 용량	기가비트
HW RAID 컨트롤러	PostgreSQL 데이터베이스 호스팅 권장, RAID 0가 아닌 RAID 5, 6 또는 10으로 설정
Temporary 폴더 위치	SSD 드라이브 또는 연속 쓰기가 가능한 ​RAID 0 파티션
드라이브 설정	드라이브 1 : 운영체제 드라이브 2 :  PostgreSQL 데이터베이스 드라이브 3 : 사건 폴더와 고화질 이미지 드라이브 4 : Temp 디렉토리

벤더에서 권장하는 사양이지만, 이용 가능한 프로세스, 메모리, 입/출력 리소스가 많을 수록 좀 더 빠르게 분석할 수 있다.

FTK 와 데이터베이스 설치

FTK 설치는 다음 단계를 수행한다.

1. Database 컴포넌트를 사용해 설치 과정을 시작한다.  PostgreSQL 데이터베이스 관리자를 만들기 위해 패스워드를 입력할 수 있다.

2. 데이터베이스가 설치됐다면 FTK 를 설치한다.

3. FTK 가 올바르게 작동하도록 Distributed Engine 컴포넌트를 설치한다.

4. View User Guide 설치는 옵션이지만, 적극 권장한다.

5. FTK 플랫폼 설치 과정을 끝내려면 Other Products 버튼을 클릭한 후 다음 목록의 컴포넌트를 선택 한다.

   ㅇ License Manager  제품 라이선스 제어 컴포넌트

   ㅇ Registry Viewer  윈도우 레지스트리 분석 컴포넌트

   ㅇ PRTK  패스워드 복구 컴포넌트

   ㅇ CodeMeter  USB 코드미터 하드웨어 드라이버와 관리 컴포넌트

   ㅇ Imager  FTK Imager 제품

32비트 또는 64비트에 맞는 올바른 플랫폼을 선택했는지 확인하고, 케이스에서 "요청한 데이터베이스에 연결할 수 없다(Unable to connect to the database requested)" 라는 에러 메시지가 나오면 RDBMS 옵션을  PostgreSQL 로 변경한다.

FTK 처음 실행

설치가 올바르게 이뤄졌다면 첫 번째 단계는 사용자를 생성하는 것이다.

사용자 추가 폼에서 각 필드에 입력한 후 OK 를 클릭하면 첫 번째 사용자가 생성된다. 이 사용자는 애플리케이션 관리자로 FTK 툴을 관리한다.

독립 실행형과 엔터프라이즈 플랫폼 간의 차이를 이해하였고, 어느 방식으로 조사를 착수할 지 결정하는 것은 매우 중요하다. 이것은 분명히 수집 시간과 데이터 분석에 영향을 주며 고려해야 할 다른 중요한 점은 하드웨어의 요구 사항이다. 컴퓨터 하드웨어 성능이 높을수록 분석이 더 빠르다는 점을 유의하고 분석 과정은 실제 시간이 소요되는 부분으로, 적절하게 조절하지 않는다면 하드웨어는 프로젝트에 나쁜 영향을 줄 수 있다.