|
SANS에서 제공하는 이 툴킷은 각종 컴퓨터 내부에서 발생되는 각종 전자 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업하는 용도입니다.
이 패키지는 라이브시디와 같은개념으로써,vmware에서만 별도의 시스템으로 동작되는 패키지입니다.
설치가 필요없습니다.vmware에서 이미지를 불러서,RUN만 해주면 바로 사용이 가능합니다.
*라이브시디란 별도의 인스톨 필요없이,부팅만으로 새로운 시스템을 사용 할 수 있습니다. 전세계에서 사용되는 라이브시디에 대해서,대용량 페이지로 다룰 예정입니다. |
디지털포렌식 툴킷은 아래의 관련 화일 포멧을 지원하고 있습니다.
ExpertWitnessFormat (E01),
Advanced Forensic Format (AFF), and
raw (dd) evidence formats
"Ubuntu"를 베이스로 리눅스 OS로 구성되어 있습니다.
리눅스를 사용해본 유저이시라면,아래의 구성에 대해서는 쉽게 이해 하실듯..
* $ sudo su - o Use to elevate privileges to root while mounting disk images. PTK login
* Login "admin" * Password "forensics" Host Machine Connectivity Enable SHARED FOLDERS
* VM -> SETTINGS -> OPTIONS -> Shared Folders -> Always Enabled (Check)
* Access to Host System Found on Desktop * VMware-Shared-Drive Access from a Windows Machine
* Filesystem Shares \\SIFTWORKSTATION o or use ifconfig and connectto eth0 IP Address listed (e.g.\\192.168.1.12) o /mnt - Mount point for read-only examination of digital forensic evidence o /cases
- Directory to store evidence SIFT
Workst
ation Recommended Software Requirements
|
vmware만 설치되어있으면,작동합니다..
다운로드는 맨아래에 나와 있습니다.
아래의 파일 시스템을 다 지원합니다.
* Windows (MSDOS, FAT, VFAT, NTFS) * MAC (HFS) * Solaris (UFS) * Linux (EXT2/3)
특히 파일시스템을 사용 할때에는 read-only로만 사용하기때문에,증거물(하드디스크)는
절대로 변하지(modified?) 않겠죠?
Evidence Image Support (다양한 툴들이 제공됩니다) |
* Expert Witness (E01) * RAW (dd)
* Advanced Forensic Format (AFF) Software Includes
* The Sleuth Kit (File system Analysis Tools)
* log2timeline (Timeline Generation Tool)
* ssdeep & md5deep (Hashing Tools) * Foremost/Scalpel (File Carving)
* WireShark (Network Forensics)
* Vinetto (thumbs.db examination)
* Pasco (IE Web History examination)
* Rifiuti (Recycle Bin examination)
* Volatility Framework (Memory Analysis)
* DFLabs PTK (GUI Front-End for Sleuthkit)
* Autopsy (GUI Front-End for Sleuthkit)
* PyFLAG (GUI Log/Disk Examination) Key Directories in SANS SIFT Workstation
* /forensics o Location of the files used for the Autopsy Toolset
* /usr/local/src o Source files for Autopsy, The Sleuth Kit, and other tools
* /usr/local/bin o Location of the forensic pre-compiled binaries
* /cases o Location of your collected evidence
* /mnt/hack o Location of the mount points for the file system images
다운로드1(Sans investigation forensics toolkit): https://computer-forensics.sans.org/community/downloads
다운로드2(Vmware Trial version) https://www.vmware.com/tryvmware/?p=default
(귀찮더라도 회원을 가입해야만,다운로드 가능합니다)
다운로드3. 완료후에는 반드시 파일검증을 해서,원본 화일인지 확인하셔야 합니다.
파일검증 소프트웨어 다운로드 여기
아래는 동작화면입니다.로그인과 비밀번호는 다음과 같습니다.^^
* Login "sansforensics"
* Password "forensics"

'인터넷보안 > 내가 스파이라면?' 카테고리의 다른 글
SANS 포렌식 툴킷(사이버 수사,증거를 찾아내자.) (0) | 2011.01.08 |
---|---|
아이폰 해킹툴,탈옥툴 아님(password breaker) using GPU (1) | 2011.01.03 |
무선랜 해킹툴모음(wifi hack all in one ) (15) | 2010.12.30 |
자신의 IP주소를 숨겨라 (1) | 2010.12.30 |
Sticky password 4.0(패스워드 자동입력,패스워드 매니저) (0) | 2010.12.23 |
PGP개인 암호화 소프트웨어 와 openPGP(오픈소스기반 암호화 s/w) (0) | 2010.12.23 |