본문 바로가기
[100] IR

Freeware로 제공되는 Forensic 툴 제작사 소개 및 기능 비교

by pogn 2022. 1. 31.

  악성코드 분석을 위해서 다양한 Tool들을 활용하게 되는데, 툴의 기능 및 활용도에 대해서 평가하기 전,

먼저 이러한 Tool들을 제공하는 회사들에 대해서 조사해보았다. 어떤 목적으로 설립된 회사이고 왜 이런 툴들을 무료 혹은 유료로 제공하는지, 얼만큼의 신뢰도를 가지고 해당 툴을 이용할 것인지에 대해서 대략적인 그림을 그려보기 위해서이다. 

  그리고, 같은 기능의 툴이 여러개라면 어느 포인트에서 툴을 선택해서 활용할지 등의 분석가(User)관점에서 비교해본다. 

 

1. Sysinternals

 

- 메인 사이트 : https://docs.microsoft.com/ko-kr/sysinternals

                    https://docs.microsoft.com/en-us/sysinternals/

- Tool 다운로드 URL : https://docs.microsoft.com/ko-kr/sysinternals/downloads/

- 주요 툴 

  . AutoRuns (자동실행 관련 모니터링)

  . Process Monitor (프로세스가 수행하는 모든 행위에 대한 상세 모니터링)

  . Proness Explorer (특정 프로세스를 연 파일이나 DLL에 특화된 모니터링)

 

  1996년도부터 미국의 소프트웨어 개발자 두 명(Mark Russinovich, )이 운영하던 회사를 2006년도에 MicroSoft가 인수하면서 Sysinternals에서 제공중인 모든 툴은 MS의 공식 툴이 되었다. (현재 Mark는 MS에서 개발자로 일하고 있다.) 

  다운로드 URL에서 sysinternals-suite 버전을 다운로드 받으면 파일/네트워크/프로세스/보안 과 관련된 주요 툴들을 한번에 다운로드 받을 수 있다. MS에서 제공하는 툴인만큼 가장 Fancy한 편이고 가장 활용도가 높다. 

  최근엔 네트워크 공유폴더(SMB) 기능을 활용해서 탐색기에서 아래의 경로로 접속 시, 툴 다운로드 없이 바로 툴을 실행할 수 있도록 Live 버전을 만든 것으로 보인다. 네트워크 속도가 좋은 곳에서 활용하길 추천한다.

탐색기에서 "\\live.sysinternals.com\tools" 로 들어가면 아래와 같이 바로 툴을 실행할 수 있다.

 

 

2. SysTools

os를 windows로 설정하고 price로 정렬하면 Freeware가 몇가지 보인다.

- 메인 사이트 : https://www.systoolsgroup.com/

- Tool 다운로드 URL : https://www.systoolsgroup.com/online-store.html

- 주요 툴 

  . eml-viewer (https://www.emlviewer.org/)

- 툴 지원 파일 타입 

  . MS 이메일 : EML, PST, OST, MBOX(gmail), MSG, Exchange EDB, AOL PFC, Maildir Viewer 

  . MS 이메일 주소록 : OLK, vCard(VCF) Viewer 
  . MS 오피스 : Docx, PPTX, XLSX,XPS(PDF 대용으로 나온 XML기반 문서파일) Viewer 
  . 데이터베이스 :  MDB(MS AccessDB), Sqlite, MDF(MS SQL) Viewer
  . 디스크 이미지파일 : E01(Encase) , DMG(MAC OS) Viewer 

  . 일러스트 등 이미지 파일 : Image Viewer, CDR Viewer

  . 가상화디스크 파일 : VHD, VHDX Viewer (hyper-v)

  . 윈도우 백업파일 :  BKF Viewer
  . 기타 : Hard Drive Viewer, DXL Viewer

  
  

    사이트 UI가 통일되어있지 않아 각 페이지에 들어갈때마다 다른 회사인가 싶지만 같은 회사 사이트이다. 데이터복구, 백업, 마이그레이션, 포렌식 서비스를 제공하고 있고, 각각의 Tool들이 File type별로 제공되는 것으로 미루어 보아 "파일 복구"에 초점이 맞추어져 있는 회사인 것 같다.

  인도인 CEO 두 명(Anuraag Singh, Debasish Pramanik)이 창립한 인도 회사이고, 유사한 서비스를 제공하는 Sysinfo社(www.sysinfotools.com)도 인도 회사이나 전혀 다른 회사인 것으로 보인다. Freeware로 제공되는 것들은 대체로 맛보기를 위한 간단한 viewer류이며 파일타입 변환(ex. eml -> pst 등)과 같은 조금 더 고차원 적인 소프트웨어는 유료로 운영되기에 마케팅적 요소가 있어보인다. 

 

  각종 Email 타입 데이터를 Outlook을 통해 로그인 하지 않아도 바로 볼수 있고, 의도치 않게 손상되었거나 암호를 잃어버린 Office 파일, Windows 백업 파일등을 복구해볼 때 시도해볼 수 있겠다.

  거의 대부분의 툴이 설치형이라는 점이 조금 아쉽다. 

 

 

 

 

3. Nirsoft 

 

- 메인 사이트 : https://www.nirsoft.net/

- 툴 다운로드 URL : https://launcher.nirsoft.net/

 

  놀랍게도 이스라엘 소속의 개인 개발자인 nir sofer에 의해 운영되는 개인 페이지이다. 어떠한 회사나 단체가 아닌 개인 혼자만이 개발하고 운영하는 페이지이며, 2001년부터 무료로 운영해왔고 대체로 C++로 개발된 비설치형 툴이라 빠르고 편리한 장점이 있다고 소개되어 있다. (능력자...)

  툴의 종류는 200개 이상의 툴들이 현재 진행형으로 업데이트 되고 있어 한번에 요약하여 설명하긴 어려우나, 거의 대부분의 악성코드 및 포렌식 분석에 활용가능한 툴들이 개발되어 있다. 위의 다운로드 URL에서 Laucher 프로그램을 다운로드 받으면 비설치 형으로 한번에 여러가지의 툴을 실행할 수 있다. (서브도메인은 도메인 소유자만이 만들수 있고, 실제 응답IP도 동일하므로 위사이트를 신뢰해도 된다)

원하는 툴을 클릭하고 왼쪽 아래의 run 버튼을 클릭하면 바로 실행된다. 

 

  백신에 의해서 hack tools.nirsoft 와 같이 저격하여 탐지되기도 하므로 삭제당하지 않으려면 백신을 끄고 사용해야 한다. 그리고 launcher는 편리하지만 여러가지 툴들을 로딩해서 쓰는 툴인 만큼 부하를 일으키는 것으로 보이므로 라이브로 사용하는 것은 절대 비추이고, 분석환경에서만 활용하는 것을 추천한다. 

 

 

댓글

티스토리툴바