이미지 파일 통합분석 도구 :: FTK, Encase, X-Ways Forensics

0. 이미지 파일 통합 분석 도구

이미지 파일 분석에서 필요한 기능을 통합하여 하나의 도구로 구현한 것으로,

FTK, EnCase, Forensic Explorer, X-Ways Forensics, BlackLight, Autopsy, Mac Marshal Forensic Edition 등이 있다.

 

(FTK 와 EnCase 가 전세계 포렌식 도구의 쌍벽을 이룬다..)

 

1. FTK (Forensic Tool Kit)

: AccessData 에서 만든 통합 포렌식 도구.

 

https://accessdata.com/products-services/forensic-toolkit-ftk

 

Windows 환경에서 실행 가능한 사용 소프트웨어로, 공식홈페이지에서 약 529만원에 구입 가능하다.

 

데이터베이스를 사용하여 분석 데이터를 관리하는 것이 특징이며 Postgre라는 데이터베이스를 사용한다.

또는 사용자 운영체제에서 MS SQL 지원 시 Postgre 데이터베이스를 대체하여 사용할 수 있다.

 

BROAD FILE SYSTEM, FILE TYPE AND EMAIL SUPPORT, DATA VISUALIZATION 등의 기능을 지원한다.

 

 

장점:

- 포렌식에 필요한 여러 도구를 모아 놓은 Took Kit 으로, 사용 가능한 도구가 많다.

- 데이터베이스를 사용하여 분석 데이터를 관리하기 때문에, 강제 종료 당하더라도 분석중인 정보들이 데이터 베이스에 남아 있으므로 프로그램 재구동 후 중지된 부분부터 다시 수사를 진행할 수 있다.

- 사용하기 편리한 인터페이스 및 뛰어난 검색 툴과 이메일 분석기능

 

단점: 

- 데이터베이스를 탑재하여 좀 무겁고 느리게 동작하기 때문에 불편할 수 있다.

 

 

홈페이지: accessdata.com/products-services/forensic-toolkit-ftk

 

 

 

2. Encase

: Guidance Software 에서 제작한 통합 포렌식 도구.

 

https://www.guidancesoftware.com/encase-forensic

 

Windows 환경에서 실행 가능한 상용 소프트웨어로, 약 333만원에 구입 가능하다.

(라이선스 별 가격은 공식 홈페이지 참조.)

 

Triage, Collect, Process, Search, Analyze, Report 등의 기능을 지원한다.

 

 

장점:

- EnCase로 분석하여 보고서가 나오면 법적으로 인정되는 가능성이 높기 때문에 사용률이 높다.

- 광범위한 기능을 지원하는 만큼 확장성이 뛰어나다.

 

단점: 

- 복잡한 사용법으로 인해 충분한 숙련도가 요구된다.

 

홈페이지: www.guidancesoftware.com/encase-forensic

 

 

 

 

3. X-Ways Forensics

: X-Ways 에서 제작한 통합 포렌식 도구.

 

http://www.x-ways.net/forensics/index-m.html

Windows 환경에서 실행 가능한 상용 소프트웨어로, 약 168만원에 구입 가능하다.

강력한 데이터 및 파일 복구 솔루션으로 이미징부터 물리메모리 분석까지 대부분의 환경에서 활용 가능한 도구이다.

 

Disk cloning, disk imaging, RAM editor, Data recovery 등의 기능을 지원한다.

 

장점:

- 파일 시스템의 상세한 구조까지 모두 직접 확인 가능하고, 필터링과 검색 기능이 뛰어나다.

- 다른 경쟁 제품들에 비해 구동 환경 사양이 가장 낮으며 별도의 설치 절차 없이 바로 실행 가능하다. (가볍다)

 

단점: 

- 제공하는 도구가 비교적 제한적이다.

- Hex View 중심의 프로그램이기 때문에 많은 숙련이 요구된다.

 

홈페이지: www.x-ways.net/forensics/index-m.html

 

 

 

4. Autopsy

 

장점:

 

- 무료 소프트웨어

- 빠르고 웹브라우저 환경에서 분석할 수 있는 기능을 제공한다.

- 사용자 친화적

 

단점:

- 기능이 좀 적을 수 있다(상대적)

 

 

홈페이지: www.autopsy.com/

 

 

 

Ref.

[1] forensic.korea.ac.kr/DFWIKI/index.php/FTK_(Forensic_Tool_Kit)

[2] 07vh.tistory.com/entry/Forensic-Tool-1

[3] pslab.tistory.com/entry/AcessData-%EC%9D%98-Forensic-%EC%9D%B4%EB%AF%B8%EC%A7%95-%EB%8F%84%EA%B5%AC-FTK-Imager-30 

[4] blog.naver.com/PostView.nhn?blogId=happymaru11&logNo=222050326266&parentCategoryNo=31&categoryNo=16&viewDate=&isShowPopularPosts=false&from=postView

.