이전 포스팅에서 forecopy v1.0을 소개했다. v1.0은 시스템에 영향을 주지 않고(시간 정보 변경 없이) 파일을 복사해오는 도구이다.

라이브 포렌식 시 사전에 중요한 데이터를 수집하는데 유용하게 사용할 수 있다.
http://forensic-proof.com/archives/3599

이번에는 버그 수정과 좀 더 편리하게 사용할 수 있도록 기능을 개선한 forecopy_handy v1.0을 소개한다.
http://code.google.com/p/proneer/downloads/list

forecopy_handy의 동작 환경은 다음과 같다.

• 윈도우 XP 이상
• x86, x64 지원

프로그램명이 기존과 다른 이유는 forecopy는 순수하게 시스템에 영향을 주지 않지만, forecopy_handy는 디렉터리를 탐색하면서

디렉터리의 접근 시간을 변경시킬 수 있기 때문에 구분했다. 디렉터리 기능도 시스템 변경없이 획득할 수 있지만 최근 업데이트 할

시간이 충분하지가 않아 차일피일 미루고 있다.

디렉터리의 접근 시간을 변경할 수도 있지만, Vista 이상에서는 접근 시간 업데이트가 기본으로 비활성화되어 있기 때문에 사용하는데

문제가 없을 것이다. 그리고 Vista 이전에서도 수집하는 디렉터리의 접근 시간은 타임라인 분석에 큰 도움이 되지 못하므로 접근 시간

변경이 큰 이슈가 되지 않는다면 사용해도 될 것이다.

포렌식 데이터 수집 시 시스템에 최소한의 영향을 미치는 것이 좋지만 그 때문에 꼭 필요한 데이터를 수집하지 못해서는 안될 것이다.

라이브 포렌식 시 별도의 하드웨어 장비가 장착되어 있지 않은 경우 어쩔 수 없이 시스템을 변경시킬 수 밖에 없다. 이 때에는

어떤 것이 목적에 더 중요한지를 고려해야 한다.

• # 수정된 버그
  – 환경 변수 문제 해결

• # 추가된 기능
  – 로그온 사용자 이외에 시스템의 모든 사용자 데이터 수집
  – 디렉터리 수집 기능 추가
  – 프리패치 수집 기능 추가
  – system32/drivers/etc 폴더 수집 기능 추가
  – 인터넷 익스플로러 사용 흔적 수집
  – 파이어폭스 사용 흔적 수집
  – 크롬 사용 흔적 수집

forecopy_handy는 기본적으로 파일의 전체 경로나 디렉터리 경로를 주게 되면 파일을 복사할 수 있다.

• 파일 복사 : forecopy_handy -f c:\windows\notepad.exe f:\temp
• 디렉터리 복사 : forecopy_handy -d c:\windows\system32 f:\temp

그리고 간편하게 옵션을 사용해 분석에 필요한 파일을 수집할 수 있다.

• forecopy_handy -mprteixc f:\temp

사용하는데 수정해야 할 점이나 보완해야 할 점이 있다면 댓글로 알려주기 바란다