티스토리 뷰
FTK Geolocation 기능
Anonymice 2015. 12. 3. 14:46Accessdata의 FTK가 6월 중순, 5.4.0으로 업데이트 되면서 새로운 기능이 추가되었다. 사진의 GPS정보를 분석하여 지도에 해당하는 위치에 핀을 찍어주는 기능(이하 Geolocation)인데, 이게 사용하기가 조금 까다로워서 별도로 기록한다.
일단 준비할 것은 GPS정보가 입력되어 있는 사진이다. 아이폰을 사용하고 있으면 [설정 - 개인 정보 보호 - 위치 서비스]에 있는 '카메라' 앱의 위치 서비스를 허용해주어야 하며, 다른 애플리케이션을 사용하고 있으면 해당하는 애플리케이션에 위치 서비스를 허용해야 한다.
FTK를 실행하기 전에 시스템도 준비가 되어있어야 한다. Geolocation 기능은 KFF를 사용한다고 되어있기 때문에 KFF 서버를 설치해야 한다. KFF는 Accessdata 홈페이지에서 다운로드가 가능하다.
KFF 설치 방법은 FTK와 유사하므로 큰 어려움은 없다.
KFF 설치가 완료되었으면, KFF Server Configuration을 실행시킨다. 하단에 있는 KFF Service is: 부분이 Running 으로 되어있는지 확인한다. 서버 실행에 문제가 있으면 [시작 - 실행 (Win+R)]을 순서대로 누른 뒤, services.msc 를 입력하고 확인 버튼을 클릭한다. 서비스 중, AccessData KFF Server를 찾아서 실행시키면 해결된다.
KFF가 정상적으로 실행되었다면 FTK에서 분석을 하면 된다. 분석은 [Evidence - Additional Analysis...] 메뉴를 순서대로 들어간 뒤, Miscellaneous 탭에 있는 File Signature Analysis를 선택하고 분석을 시작하면 된다.
분석이 끝났으면 지도에서 볼 사진만 체크(Check)한 뒤, File List 패널 상단 오른쪽에 있는 지구 모양의 아이콘(View geo-location data visually 또는 GeoLocationView)을 클릭한다.
위 스크린샷에서 파란색 부분에 체크된 내용만 빨간색 부분을 클릭했을 때 나오는 Geolocation 윈도우에 표시가 된다.
지구 모양 아이콘을 클릭하게 되면 GeoLocationView 윈도우가 나오게 된다. 정상적으로 분석이 되었으면 하단 Exif 탭에 촬영 시간, 파일명, 파일 크기, 위치 정보에 파일이 표시된다. 촬영 시간(Capture Date), 파일명(File Name), 파일 크기(File Size)는 필터 기능을 가지고 있으며, 각 컬럼에 오른쪽 부분에 있는 아이콘(
)을 클릭하여 적용할 수 있다.
지도가 출력되는 부분은 온라인에서 지도 데이터를 받아서 출력하기 때문에, 인터넷에 연결이 되어있어야 한다. 사정상 인터넷 연결 여건이 되지 않는 경우는 오프라인 데이터를 적용할 수 있다. 이 데이터 또한 AccessData 홈페이지에서 다운로드가 가능하며, 자세한 내용은 매뉴얼을 참고하여 적용하면 된다. 지도 데이터 다운로드는 AccessData 홈페이지의 [Support - Product Downloads]를 순서대로 들어간 뒤, Forensic Toolkit Downloads 페이지의 오른쪽 Product Release 부분에 있는 Geolocation Map for Offline Use 이다.
지도 데이터는 MapQuest Streets, MapQuest Satellite, OpenStreetMap이 있으며 원하는 지도를 상단 중앙에 있는 버튼으로 선택하여 보면 된다.
지도에 핀이 고정되어 있는 부분이 사진을 분석한 결과를 바탕으로 한 위도와 경도 위치를 나타내는 것이며, 해당 핀을 클릭하면 Exif 탭에 사진 정보가 출력된다. 핀을 클릭해보면 알 수 있지만, 해당 핀만 주황색으로 표시가 되며, Exif 탭 바로 아래에 논리연산을 이용한 표현식을 보여주고 있다.
Exit 탭 중앙에 모니터 모양의 아이콘이 있는데, 첫 번째 아이콘(
)은 전체 화면을 캡처하는 기능을 가지고 있으며, 두 번째 아이콘(
)은 원하는 위치만 선택하여 캡처하는 기능을 가지고 있다. 첫 번째 아이콘을 이용하여 캡처할 때 듀얼모니터를 사용하고 있으면 주 모니터가 캡처되므로 윈도우를 옮겨서 캡처하거나 두 번째 아이콘을 이용한 캡처를 사용하면 된다.
1. 준비
일단 준비할 것은 GPS정보가 입력되어 있는 사진이다. 아이폰을 사용하고 있으면 [설정 - 개인 정보 보호 - 위치 서비스]에 있는 '카메라' 앱의 위치 서비스를 허용해주어야 하며, 다른 애플리케이션을 사용하고 있으면 해당하는 애플리케이션에 위치 서비스를 허용해야 한다.
FTK를 실행하기 전에 시스템도 준비가 되어있어야 한다. Geolocation 기능은 KFF를 사용한다고 되어있기 때문에 KFF 서버를 설치해야 한다. KFF는 Accessdata 홈페이지에서 다운로드가 가능하다.
KFF 설치 방법은 FTK와 유사하므로 큰 어려움은 없다.
2. 분석
KFF 설치가 완료되었으면, KFF Server Configuration을 실행시킨다. 하단에 있는 KFF Service is: 부분이 Running 으로 되어있는지 확인한다. 서버 실행에 문제가 있으면 [시작 - 실행 (Win+R)]을 순서대로 누른 뒤, services.msc 를 입력하고 확인 버튼을 클릭한다. 서비스 중, AccessData KFF Server를 찾아서 실행시키면 해결된다.
KFF가 정상적으로 실행되었다면 FTK에서 분석을 하면 된다. 분석은 [Evidence - Additional Analysis...] 메뉴를 순서대로 들어간 뒤, Miscellaneous 탭에 있는 File Signature Analysis를 선택하고 분석을 시작하면 된다.
분석이 끝났으면 지도에서 볼 사진만 체크(Check)한 뒤, File List 패널 상단 오른쪽에 있는 지구 모양의 아이콘(View geo-location data visually 또는 GeoLocationView)을 클릭한다.
위 스크린샷에서 파란색 부분에 체크된 내용만 빨간색 부분을 클릭했을 때 나오는 Geolocation 윈도우에 표시가 된다.
3. 확인
지구 모양 아이콘을 클릭하게 되면 GeoLocationView 윈도우가 나오게 된다. 정상적으로 분석이 되었으면 하단 Exif 탭에 촬영 시간, 파일명, 파일 크기, 위치 정보에 파일이 표시된다. 촬영 시간(Capture Date), 파일명(File Name), 파일 크기(File Size)는 필터 기능을 가지고 있으며, 각 컬럼에 오른쪽 부분에 있는 아이콘(
)을 클릭하여 적용할 수 있다.
지도가 출력되는 부분은 온라인에서 지도 데이터를 받아서 출력하기 때문에, 인터넷에 연결이 되어있어야 한다. 사정상 인터넷 연결 여건이 되지 않는 경우는 오프라인 데이터를 적용할 수 있다. 이 데이터 또한 AccessData 홈페이지에서 다운로드가 가능하며, 자세한 내용은 매뉴얼을 참고하여 적용하면 된다. 지도 데이터 다운로드는 AccessData 홈페이지의 [Support - Product Downloads]를 순서대로 들어간 뒤, Forensic Toolkit Downloads 페이지의 오른쪽 Product Release 부분에 있는 Geolocation Map for Offline Use 이다.
지도 데이터는 MapQuest Streets, MapQuest Satellite, OpenStreetMap이 있으며 원하는 지도를 상단 중앙에 있는 버튼으로 선택하여 보면 된다.
지도에 핀이 고정되어 있는 부분이 사진을 분석한 결과를 바탕으로 한 위도와 경도 위치를 나타내는 것이며, 해당 핀을 클릭하면 Exif 탭에 사진 정보가 출력된다. 핀을 클릭해보면 알 수 있지만, 해당 핀만 주황색으로 표시가 되며, Exif 탭 바로 아래에 논리연산을 이용한 표현식을 보여주고 있다.
Exit 탭 중앙에 모니터 모양의 아이콘이 있는데, 첫 번째 아이콘(
)은 전체 화면을 캡처하는 기능을 가지고 있으며, 두 번째 아이콘()은 원하는 위치만 선택하여 캡처하는 기능을 가지고 있다. 첫 번째 아이콘을 이용하여 캡처할 때 듀얼모니터를 사용하고 있으면 주 모니터가 캡처되므로 윈도우를 옮겨서 캡처하거나 두 번째 아이콘을 이용한 캡처를 사용하면 된다.* 이 글은 4n6.center 블로그에 작성했던 글을 가져왔기 때문에 마크업이 적용되지 않은 티스토리에서 정상적으로 보이지 않을 수 있습니다.
댓글