인프런 커뮤니티 질문&답변
작성한 질문수
Autopsy 분석 소요 시간 문제
해결된 질문
작성
·
106
0
안녕하세요.
[Autopsy] 실습시나리오 풀이 1-1 진행중인데요.
Autopsy 분석 시간이 오래걸려서 문의드립니다.
강사님 말씀으로는 15분정도면 된다고 하셨는데
강의에 알려주신 Ingest 옵션을 똑같이 해도 1시간이 넘어가도 분석이 완료되지 않네요.
어떤 부분이 잘못되었을까요?
고민해봐도 답이 잘 안나오네요
버전은 Autopsy 4.21.0
아래처럼 Analyzing files from 단계에서 상당히 오래 멈춰있습니다.
ingest옵션입니다.
한시간정도 진행하다가 중단한 결과입니다.
아티팩트 갯수 차이가 많이 나네요.
시스템 성능은
i7 , RAM 16GB , win 11 Home 입니다.
답변 2
1
안녕하세요 jj kim님!
말씀하신 시나리오 1번의 dd파일을 autopsy로 분석을 돌렸을때,
강의영상에서 선택한 인제스트 모듈은
1) Recent Activity
2) Hash Lookup
3) File Type Identification
4) Extension Mismatch Detector
5) Embedded File Extractor
6) Picture Analyer
7) Keyword Search
8) Email Parser
9) Encryption Detection
이렇게 9개였던것으로 알고 있습니다.
Autopsy 버전에 업데이트 되면서 분석시간에 영향이 있는지 확인하기 위해서 업로드된 시나리오 1번 파일을 다운로드 받아서 파티션 복구후에 위의 분석옵션으로 동일하게 분석을 진행해봤는데 약 20분정도 걸렸고, 분석에 사용된 컴퓨터의 사양은 AMD 라이젠5, 16GB, Win10 Pro 입니다.
그래서 키워드 서치 옵션을 제외하고 다시 분석을 돌렸을때는 약 5분정도 시간이 걸렸습니다.
이러한 조건별 분석소요시간과 분석된 아티팩스 수를 비교를 해보면 아래와 같습니다.
강의영상과 동일한 조건에서는 Metadata수와 Entension Mismatch Deceted 의 수가 조금
적게 나오긴 했는데, 분석결과에 잡히는 내용들 중 문제가 없는 정상적인경우도 많기때문에 업데이트되면서 조금 더 잘 걸러주게 된게 아닌가 하는 생각이 드는데, 저정도 차이는
문제가 없다고 생각이 들고, 무엇보다 분석시간에서도 유의미한 차이가 나진 않았던것 같습니다.
최근의 시험들을 진행하면서 autopsy 분석시간에 대한 문제가 계속 언급되고 있어서
몇 회 전 부터는 분석시에 'Keyword Search' 옵션을 끄고 분석을 진행하시고, 필요시에 추가로 분석을 진행하시는것으로 권장을 드리고 있는데요, 이 시나리오 역시 Keyword Search 옵션을 끄고
분석을 한번 진행해보시고 시간이 어느정도 걸리는지 한번 봐주세요.
키워드 서치는 실제로는 매우 중요한 기능이긴 하지만, 시간제약이 있는 시험의 특성상 활용하기에
어려운게 사실이다보니 우선은 분석을 돌리지 않는것으로 권해드립니다.
그리고 확인을 한번 해보실만한 부분이, 키워드 서치를 돌릴경우라고해도, 아래의 캡쳐 화면처럼
키워드 서치 모듈의 옵션을 설정하는 화면에서 'Select Keyword lists to encable during ingest'의
각 항목(Phone numbers, Ip Addresses 등)이 모두 체크가 해제가 되어있는지 확인한번 해보시는것도 좋습니다.
아래 화면은 이미 분석이 완료된 화면이여서 처음 분석 인제스트 모듈 선택시의 화면과는 조금 다른데,
이 부분이 칸이 작게 나오면서 마우스 스크롤로 넘기다보니 체크되어있는데 확인 못하는 경우가 생기기도 합니다. 확실히 모든 부분에 체크가 해제되어있는지도 한번 확인해보세요!
성능만 봤을때 제가 분석한 컴퓨터보다 더 좋으신데 1시간이 지났음에도 분석이 완료되지 않았다는것은
아마도 인제스트 모듈 선택에서 놓친 부분이 있지 않을까 하는 생각이 듭니다.
다시 한번 인제스트 모듈의 옵션을 확인해보시고, 그래도 문제가 없었다면 키워드서치는 제외하고 분석을 한번 돌려봐주세요.
시나리오1번 이미지는 윈도우즈가 포함되지 않아서 파일수 등이 매우 적은 편입니다. 그럼에도 불구하고 1시간이상 분석이 완료되지 않는다면 뭔가 문제가 있긴 있는것 같습니다 ㅜ_ㅜ
0
안녕하세요, 인프런 AI 인턴입니다. jj kim님.
Autopsy의 분석 시간이 예상보다 오래 걸리고 있어서 고민이 많으실 것 같습니다. 분석 시간에 영향을 미치는 요소는 여러 가지가 있으며, 이를 확인하고 조정함으로써 분석 시간을 줄이는 데 도움이 될 수 있습니다. 다음은 Autopsy 분석 시간을 최적화하는 데 도움이 될 수 있는 몇 가지 팁입니다:
1. 시스템 성능 확인
- 프로세스 상태: 다른 애플리케이션 또는 서비스가 과도하게 시스템 리소스를 사용하고 있는지 확인합니다. Task Manager(작업 관리자)를 열어 CPU, 메모리 사용량을 점검하세요. 가능하다면 Autopsy 실행 시 다른 불필요한 프로그램은 종료해 주세요.
2. Ingest 옵션 최적화
- 필요 없는 모듈 제외: 모든 모듈을 활성화하면 불필요한 분석을 수행하게 됩니다. 예를 들어,
Hash Lookup이나Encryption Detection은 특정 상황에서만 필요하므로, 꼭 필요한 모듈만 선택하는 것이 좋습니다.
- Keyword Search 시간 소요:
Keyword Search는 특히 시간이 많이 걸리는 모듈 중 하나입니다. 시험 상황에서는 이를 제외하거나 필수적일 때만 사용하는 것도 방법입니다.
3. 데이터를 나누어 분석
- 이미지 파일 크기: 한 번에 처리하기엔 큰 데이터 원본일 수 있습니다. 만약 가능하다면, 데이터를 작은 파트로 나누어 순차적으로 분석해보세요.
4. 업그레이드 및 최적화 고려
- 소프트웨어 최적화: Autopsy는 매 버전마다 최적화가 진행됩니다. 버전마다 성능 차이가 있으니, 최신 버전의 소프트웨어를 사용하고 있는지 확인합니다.
- 하드웨어 업그레이드: 만약 지속적으로 시간이 많이 걸린다면, RAM 업그레이드를 고려해볼 수도 있습니다. 16GB도 괜찮지만, 여러 가지 프로세스를 동시에 처리할 때에는 더 많은 메모리가 도움이 될 수 있습니다.
관련 자료 및 추가적인 방법
- Autopsy를 더 효율적으로 사용하면서 다양한 모듈의 특성을 이해하는 것은 업무 및 시험 준비에 큰 도움이 됩니다. 관련 자료로 다음 링크를 참고하실 수 있습니다.
- “실기 시험장에서 Autopsy 사용툴에 대한 문의 드립니다!”: Autopsy와 관련한 사용 경험과 모듈 최적화에 대한 조언을 제공합니다.
- “실기 시험장에서 Autopsy 사용툴에 대한 문의 드립니다!”: Autopsy와 관련한 사용 경험과 모듈 최적화에 대한 조언을 제공합니다.
Autopsy의 분석 시간 문제는 여러 요소에 의해 발생할 수 있습니다. 시스템 성능이나 Ingest 모듈 설정을 최적화하면 시간 절약에 도움이 될 것입니다. 이 외에도 다양한 사용자 커뮤니티를 통해 팁과 노하우를 얻는 것도 권장합니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.