침해사고 대응 및 포렌식 분야를 공부하다 보면 초기대응에서 꼭 필요로 하는 Live Data 를 신속하게 수집해야 합니다.
과거에는 fred 나 ircr 과 같은 도구를 사용하기도 했으나 , 지속적으로 발전하면서 foolmoon.net 에서 제공하는 WFT 가 꽤 인기 있게 사용이 되어 왔습니다.
초기 1.0의 경우 사용이 난해하여 많은 인기를 얻지 못했으나 , 2.0으로 넘어오면서 매크로 지원과 3.0의 인터렉티브 구동 등의 각종 기능이 업되면서 많은 부분에서 개선이 되고 발전되어 왔습니다.
WFT는 wft.cfg 를 이용하여 원하는 툴을 지정하여 빠르게 정보를 수집 하고 이를 보고서로 생성하는 강력한 도구 입니다.
아쉽게도 3.0 부터는 유료로 전환되었으나 , 여전히 다운 받아서 사용은 가능합니다.
사이트에 가면 매뉴얼이 있는데 , 이 매뉴얼은 1.0 기반으로 작성되어 보기에 번거롭고 양이 많아 간단한 정보 수집을 위해 보기에는 부담이 될 수 밖에 없습니다.
아래는 2.0 기반으로 작성된 문건 입니다.
Live_Forensics_Using_WFT.pdf이와 관련한 자료로 기존에 있던 2.0 을 수정하여 제공하는 3.0 문건으로 2.0 문건에서 약간의 수정이 가미 되어 있습니다.
'security > 포렌식' 카테고리의 다른 글
| PsLogList 를 이용한 윈도우 시스템 침해사고 대응 및 디지털 포렌식을 위한 이벤트 덤프 활용 (0) | 2010.07.03 |
|---|---|
| 포렌식을 위한 윈도우 파일 시그니쳐 (techpathways) (2) | 2010.07.03 |
| 메모리 포렌식 관련 자료 입니다. (0) | 2010.06.25 |
| 보안감사 및 프라이버시를 위한 USB 장치 사용 히스토리 (4) | 2010.05.14 |
| 보안실습환경을 위한 해킨토시 (3) | 2010.05.04 |
