SANS SIFT Workstation 2.0

침해대응 사고분석 시 어느 한 O.S. 에만 국한되어 발생한다는 보장이 없기때문에 가장 많이 사용되는 Microsoft 사의 Windows 시스템과 Linux 시스템을 적절하게 사용할 수 있는 것 분석가의 역량중에 하나 일 것 이다. (사실 RedHat, Unix, HP, SUN, 등 으로 보다 새부적으로 나눠질 수 있겠지만 여기서는 윈도우 리눅스로만 구분하는 것이 적절하다고 판단된다.)

이러한 연장들을 실전에서 자유자재로 사용하려면 평소 갈고 닦아야 하는데, 일반적으로 윈도우 시스템은 개인용 PC 로 많이 사용하지만 리눅스와 같은 경우 서버 관리자와 같은 특별한 업무가 아니고서야 매일 접한다는 것이 쉽지 않을 것이다. 그래서인지 리눅스 시스템과 같은 경우 포렌식 관련 연장들을 모아 디지털 포렌식 수사에 최적화된 여러개의 버전이 있다. 자세한 것은 Forensic Linux Live CD issues 에서 챙겨보도록 하자.

오늘은 그 중에서 SANS 에서 배포하고 있는 SIFT Workstation 에 대해서 소개하고자 한다.

SIFT Workstation 홈페이지 주소:
http://computer-forensics.sans.org/community/downloads

SIFT Workstation 은 Fedora 기반의 리눅스 이며 다음과 같은 장점이 있다.

• VMware 에서 사용하는 이미지 형태로 배포된다.
• VMware를 통해 윈도우즈 시스템과 같이 분석할 수 있도록 최적의 환경을 제공한다.
• 포렌식 수사를 위한 도구들이 준비되어 있다.
• 포렌식 분석 도구들이 이미 설정되어 있다.
• 이미지를 들고 다니면서 언제나 새로운 수사에 사용할 수 있다.

한편 가장 많이 사용될 법한 명령어 들을 모아 A4지 두 장으로 만들어 주고 있다. 관련 파일은 첨부하였다.

handout.pdf