EnCase 23.2 / OpenText
FTK Imager 4.7.1.2 / AccessData
Autopsy 4.20.0 / BasisTech
물리적인 메모리 덤프
DumpIt 1.3.2.20110401 / MoonSols
메모리 분석
Volatility 2.6 / The Volatility Foundation
Redline 2.0.1 / FireEye
레지스트리 분석
- 도구
- REGA 1.5.3 / 고려대 DFRC
- RegRipper 3.0 / Harlan Carvey
- RegistryExplorer
- 필요파일
- Windows/System32/config 안에 SAM, SYSTEM, SECURITY, SOFTWARE
- $Root\NTUSER.dat
- 알 수 있는 것
- 응용프로그램 설치유무
- 파일 오픈유무
- 원격접속 유무(RDP)
- 사용자 정보
- 시스템 설치정보
- USB및 저장매체 연결기록(HKLM/SYSTEM/CurrentControlSet/DeviceClasses/[DID])
웹 히스토리
- 도구
- ChromeHistoryView 1.52 / Nir Sofer
- BrowsingHistoryView 2.55 / Nir Sofer
- DB Browser for SQLite 3.12.2 / Mauricio Piacentini
- 필요파일
- ie, chrome : %UserProfile%\AppData\Local\Google\Chrome\User Data\Default
- 그 외 : %UserProfile%\AppData\Roaming
- 알 수 있는 것
- 접속정보, 다운로드 정보, 캐시 정보, 쿠키 정보
헥스 에디터
HxD 2.5.0.0 / Maël Hörz
010 Editor 13.0.2 / SweetScape Software
링크 파일 분석
- 도구
- Link Parser 1.3 / 4Discovery
- LNK Parser 1.0 / 고려대 DFRC
- 필요 파일 : %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
- 알 수 있는 것 : 원본파일에 대한 원본경로, 시간정보, 파일크기 등 확인
최근목록 분석
JumpLister 1.1.0 / Mark Woan
prefetch 분석
- 도구 : WinPrefetchView 1.37 / Nir Sofer
- 필요파일 : C:\Windows\Prefetch
- 알 수 있는 것 : 실행 파일 정보 (실행 파일명, 파일경로 등), 실행 횟수, 마지막 실행 시간, 최초 실행 시간
Windows에서 네트워크 사용 정보 표시
NetworkUsageView 1.30 / Nir Sofer
로그파일 분석
- 도구 : NTFS Log Tracker 1.71 / blueangel
- 필요파일 : $LogFile, $UsnJrnl, $MFT
- /[root]/$LogFile
- /[root]/$MFT
- /[root]/$Extend/$UsnJml:$J
- 알 수 있는 것 : 해당 파티션에 존재하는 파일들의 로그(생성, 수정, 파일명 변경, 삭제 등)를 분석 가능하게 함
데이터베이스 내용 및 내부 구조 확인 유틸리티
SQLite Expert Professional 5.4.46 / Coral Creek Software
메일뷰어
Mail Viewer 2.5.1 / MiTeC
날짜와 시간 데이터 변환 및 인코딩
Dcode 5.5.21194.40 / Digital Detective
로컬 가상머신
VMware-player-full-17.5.0-22583795 / VMWare Inc.
댓글