디지털포렌식 관련으로 유명한 SANS 그룹의 Rob Lee 교수는, 침해사고 대응 및 디지털포렌식을 위한 전용 워크스테이션을 공개함으로써 전세계에 있는 조사관들이 손쉽게 포렌식 도구들을 활용할 수 있도록 제공하고 있습니다.


SIFT Workstation 은 무료로 사용할 수 있으며, 현대의 디지털 포렌식 수사에서 사용할 수 있는 신뢰할만한 소프트웨어들로 가득 채워져 있습니다. 대부분은 최신 기법이 적용되어 있고, 오픈소스이므로 계속해서 업데이트를 지원합니다. SIFT는 지금까지 100,000건 이상의 다운로드를 기록하였고, 상용도구를 제외하면 사실상 가장 인기있는 제품이라 볼 수 있습니다. 더욱 자세한 사항은 SANS의 FOR508 교육과정을 참고하면 됩니다.


링크 : SANS Investigative Forensic Toolkit (SIFT) Workstation Version 3


SIFT 3에 포함된 주요 내용을 요약하면 다음과 같습니다.

  • Ubuntu 14.04 LTS 버전의 64bit 기반
  • 메모리 사용 최적화 
  • 관련 패키지 자동 업데이트 및 최적화
  • 최신 포렌식 도구 및 기법들 적용
  • VMware Appliance 지원
  • 리눅스와 윈도우 모두 호환
  • 직접 설치하거나 VMware Player/Workstation 을 통해 실행 가능
  • 사용 메뉴얼 및 온라인 문서 http://sift.readthedocs.org/
  • 다양한 종류의 파일시스템 지원

Download SIFT Workstation VMware Appliance - 1.5 GB

다운로드할 때에 7zip 으로 압축해제가 필요합니다.



OS 전체를 직접 설치하지 않고, 기존의 사용중이던 Ubuntu 14.04 를 이용해서 SIFT 3으로 전환이 가능합니다. 해당 방법을 안내해드리겠습니다.


우선 Ubuntu 14.04 LTS 를 설치합니다. 직접 설치하지 않는 경우 osboxes.org에서 VirtualBox 또는 VMware 이미지를 다운로드해도 됩니다.

그리고 VirtualBox 에서 새로운 이미지를 생성합니다. 이름을 적당히 SFIT Workstation으로 지정하고, 메모리를 할당합니다. 메모리가 클 수록 작업 환경이 편리하겠지만, 본인 컴퓨터 환경을 고려하여 적당히 설정하기 바랍니다.

아까 다운로드한 파일의 압축을 풀면 vdi 파일이 나옵니다. 그것을 "기존 가상 하드 디스크 파일 사용"에 체크하여 지정해줍니다.

부팅을 하면 아래와 같이 Ubuntu 14.04 LTS 화면으로 로그인됩니다. osboxes.org 에서 다운로드한 이미지라면 기본 계정의 비밀번호는 osboxes.org 입니다.

이제 터미널을 열고 아래의 명령어를 입력합니다.

여기에서 자동으로 해당 시스템의 환경정보를 인식하고, 관련 최신 패키지를 찾아 업데이트를 합니다. 이 과정은 꽤 오래 걸릴 수 있으며 가상머신에 할당된 자원 성능에 따라 다릅니다.

저는 약 한시간 정도 걸렸습니다.

작업이 완료되고 이것을 적용하려면 재부팅을 하라고 합니다. sudo reboot를 입력하여 재부팅을 해줍니다.

재부팅하면 자동으로 바탕화면의 일러스트가 변경되어 있고, 몇가지 설명서 pdf 파일들이 있습니다. 특히 SIFT Workstation Cheat Sheet, memory-forensics-cheatsheet.pdf 등의 문서는 매우 유용하니 잘 참고하시기 바랍니다.

CPUU님의 창작활동을 응원하고 싶으세요?