리눅스 기반의 포렌직 분석 환경...내가 아는데까지

1.  두말하면 잔소리 SIFT  https://digital-forensics.sans.org/community/downloads

SANS508 과정에서 소개받았고 (사실 그전부터 사용했던) 교육후엔 더욱 신나게 사용중임.  아래 링크에 있는것과 교육할때 받는 ova파일은 조금 다름... 강사분이 조금 튜닝을 해주신거라, 가끔 리눅스모르는 사람에게는 강사분의 설정이 도움될거임. 최근에 윈도우즈 버젼의 SIFT도 등장해서 샌드박스 기능이나 외부 위협인텔리젼스랑 연동해서 작업할때도 매우 인상적. 시스템 퍼포먼스만 충분하다면 두개의 머신을 동시에 돌리면, 더이상 연장걱정은 끝

기본적인 리눅스 커맨드에 이미지 마운트, 볼라틸리티 정도를 사용하는 정도지만 리눅스 기본 커맨드 자체가 워낙에 포렌직에 쓰기에 적절하므로...다른 설명은 접는걸로 ㅋ

 

2. 이게 왜 2위인가? https://csilinux.com/

두번째는 칼리리눅스 일지도라고 생각하겠지만, 솔직히 난 칼리리눅스로 nessus돌려본게 전부고 워낙에 자주 업데이트 되는 상황이기도 하고, 펜테스트나 취약점 분석이 아닌 관점에선 오히려 이놈이 더 땡긴다. 기능도 다양하거니와 윈도우즈 기반의 대상머신 분석에 필요한 3종셋트 (Volatility, Bulk Extrator, Regripper)가 있는데 그중 Volatility는 버젼3가 들어가 있는듯... 이정도만 해도 분석에 필요한 기본연장, 그것도 윈도우즈 환경에서 돌려야만 했던 놈들이 모여있다. 3가지의 가상머신에 각각의 용도별로 구분되어있지만 난 첫번째 이미지만 열어서 쓰고 있다. 그나마도 버츄얼 박스용이라 vmware로 변환해서 쓰고 있는중... 조만간 데스크탑 서버 장만하면 이놈을 본격적으로 설치해볼까 생각중 ESXi로 완성하고 봅시다. ㅋ