네이티브 Swift 아키텍처
Apple Silicon (M1~M4) 및 Intel T2 보안칩에 최적화. 안정성과 처리 속도를 동시에 확보합니다.
Overview
Field Triage to Lab Analysis in One
RECON ITR은 단일 드라이브에 부팅·라이브 모드를 모두 담은 올인원 macOS 포렌식 솔루션입니다. 현장에서는 빠르게 답을 얻고, 랩에서는 검증 가능한 이미지를 확보하는 — 분석관·수사기관·기업 IR 팀이 가장 신뢰하는 워크플로우.
Key Features
Core Capabilities
네이티브 Swift 아키텍처가 만들어내는 macOS 전용 분석 경험.
부팅 + 라이브 듀얼 모드
완전한 이미징을 위한 부팅 모드와 운영 중 시스템을 트리아지하는 라이브 모드를 한 도구로.
소프트웨어 쓰기방지 내장
외부 하드웨어 없이 디스크 arbitration을 자체 관리. 증거 무결성을 운영체제 수준에서 보장.
휘발성 데이터 정밀 수집
실행 프로세스·네트워크 연결·클립보드·로그인 사용자·시스템 프로필을 외과적으로 캡처.
아티팩트 자동 파싱
수백 개 전용 플러그인이 수천 종의 아티팩트를 즉시 파싱해 보고서 형태로 출력.
FileVault·스냅샷 대응
암호화된 볼륨과 로컬 Time Machine 스냅샷을 자연스럽게 처리.
업계 표준 출력 포맷
RECON LAB은 물론 주요 서드파티 분석 도구와 호환되는 산업 표준 이미지 포맷.
PALADIN PRO 번들 포함
구매 시 Windows·Linux 이미징/트리아지 도구가 함께 제공되어 크로스플랫폼 대응.
메타데이터 보존
논리 이미징·타깃 수집 시 원본 타임스탬프와 메타데이터를 그대로 유지.
Workflow
From Field to Lab, Seamless Flow
RECON ITR로 수집한 증거는 RECON LAB에서 즉시 심층 분석으로 이어집니다.
-
01
대상 Mac 연결
RECON ITR 부팅 환경으로 부팅하거나 운영 중 시스템에서 라이브 모드 실행.
-
02
플러그인 선택
분석관이 필요한 트리아지 플러그인(프로세스·네트워크·클립보드 등)을 선별 활성화.
-
03
자동 파싱·리포팅
수집된 아티팩트가 즉시 구조화되어 보고서 즉시 활용 가능한 형태로 출력.
-
04
RECON LAB 연계
이미지·논리 수집물을 RECON LAB으로 그대로 가져가 심층 분석·고급 리포팅 진행.
Live Mode
Volatile Data You Can't Miss on Live Systems
실행 중인 악성코드, 활성 네트워크 연결, 메모리 상태 — 종료되면 사라지는 증거를 정밀하게 캡처합니다.
Supported Platforms
Supported Platforms
네이티브 macOS 지원
- Apple Silicon (M1·M2·M3·M4)
- Intel T2 보안칩 탑재 Mac
- APFS 파일 시스템 및 APFS 스냅샷
- FileVault 암호화 볼륨
- 로컬 Time Machine 스냅샷
크로스플랫폼 확장
- Windows 시스템 이미징·트리아지
- Linux 시스템 이미징·트리아지
- iOS 백업 트리아지
- RECON ITR 구매 시 자동 번들
Use Cases
Where to Use
현장 1차 트리아지
피의자 Mac을 랩 반입 전 현장에서 빠르게 분석해 후속 절차를 결정합니다.
FileVault·T2 암호화 Mac
암호화·보안칩이 적용된 Mac에서도 부팅 모드로 안정적인 이미징 확보.
실시간 IR 대응
운영 중인 시스템에서 활성 악성코드·네트워크 연결을 즉시 캡처합니다.
iOS 백업 트리아지
Mac에 보관된 iOS 백업에서 핵심 아티팩트를 추출합니다.
크로스플랫폼 수사
macOS·Windows·Linux 증거를 PALADIN PRO 번들과 함께 통합 처리.
기업 내부 조사
임직원 단말 분석 및 컴플라이언스 조사를 신속하고 비파괴적으로 수행.
QUICK CONTACT
전문가에게 바로 문의
도입 검토 단계부터 함께합니다. 영업일 기준 24시간 내 답변드립니다.