Forensic Artifacts
- Cloud Services
Google Drive
개요
- 약 15억 명의 사용자가 Google 서비스 계정 보유
- 계정만 있다면 무료로 15GB 클라우드 용량 제공
- 사용자의 Google 활동 내역을 모두 수집/분석 가능
포렌식 관점
구글 검색어, 구글 캘린더, 구글 스프레드시트, 설문지 등 정보 수집 / 분석 가능
구글 연락처, 구글 지도 사용 기록, 구글 사진첩 등 정보 수집 / 분석 가능
구글 드라이버 업로드 데이터 수집 / 분석 가능
AXIOM Porcess 종료 후 [ 잠재적 클라우드 증거 로드 ] 텝을 이용해 수집된 클라우드 서비스 목록을 확인할 수 있습니다.
이 계정에서 데이터 수집 버튼을 클릭하여 클라우드 서비스 정보를 수집할 수 있습니다.
[ 클라우드에 저장된 대상의 정보에 … ] 항목에 체크합니다.
[ 계정 토큰 ] 을 선택한 후 AXIOM Examine에서 수집한 토큰 정보를 입력합니다.
[계정에 로그인] 을 허용합니다. 해당 계정에서 수집가능한 정보 리스트를 확인할 수 있습니다.
수집할 데이터를 선택합니다. [ Google Drive ] / [ Google Apps ] 선택
먼저 Google Drive 항목을 선택합니다. My Drive / Shared With Me 항목 모두 선택합니다.
수집 할 항목 리스트에 Google Drive 항목이 추가된 것을 확인할 수 있습니다.
이어서 Google Apps 항목도 추가합니다.
수집 가능한 Google Application 항목을 확인할 수 있습니다. 분석이 필요한 항목을 선택합니다.
수집 할 항목 리스트에 Google Apps 항목이 추가된 것을 확인할 수 있습니다. [ 다음 ]을 클릭합니다.
사례에 추가할 증거 소스 항목에 [ 클라우드-Google ]이 추가된 것을 확인할 수 있습니다.
세부 처리 정보를 모두 셋팅 후 클라우드 아티팩트에서 정형화 할 항목을 선택합니다.
세부 처리 정보 : http://www.forensic-artifact.com/magnet-forensics/sub01 AXIOM 기본 사용법 참조
구문 분석 및 카빙 항목을 선택합니다.
증거 분석 버튼을 클릭하여 Google 클라우드 정보를 수집합니다.