교육중 실습이 시간이 아주 충분하진 않았다고 생각됩니다.간략하게 활용정도..^^
아시다시피 encase는 동글키(USB 보안장치)가 있어야 하지만 교육사정은 그렇지 못합니다.
동글키가 없다면, 증거이미지만 생성할 수 있고, 실제로 수사를 할 수는 없다.
그렇지만 교육은 어떻게 받았습니다..^^;
명심하라!!!!!!!!!
불법소프트웨어로 추출한 증거자료는 법적에서 증거자료로 인정 받지 못한다.
Encase 란..
1998년 Guidance Software Inc. 가 사법기관 요구사항에 바탕을 두고 개발한 컴퓨터 증거 분석용 소프트웨어이다.컴퓨터 관련 수사에서 디지털 증거의 획득과 분석 기능을 제공하며
미국에서 90년대 후반부터 600여개 사법기관에서 컴퓨터 관련 범죄 수사에서 encase가 활용되고 있으며 미국 법원이 증거 능력을 인정하는 독립적인 솔루션이다 (2001년 Enron사 회계부정 사건) Windows 환경에서도 증거원본 미디어에 어떠한 영향도 미치지 않으면서 “미리보기”, “증거사본작성”, “분석”, “결과보고”에 이르는 전자증거 조사의 모든 과정을 수행 할 수 있다.
Encase 제품군은 다음과 같다.
- Encase Forensic : 로컬 컴퓨터 하드디스크의 기본 분석 도구
- Field Intelliegence Model(FIM)
: 네트워크 컴퓨터 및 서버의 휘발성 자료를 포함한 증거 파일 획득 및 조사가 가능,
..수사 기관용으로 Enterprise 축소판
- Encase
: 기업의 Live 시스템 및 파일에의 접근과 분석이 가능하여 사고대응 시간을 줄일 수
있음, 관제로 활용
Encase 지원 파일 시스템은 다음과 같다.
- FAT12, FAT16, FAT32
- NTFS
- EXT2,EXT3
- CDFS
- HFS, HFS+(MAC파일시스템)
- PALM(Palm-PAD파일시스템)
-UFS(unix 파일시스템)
cf> XFS파일시스템은 지원하지 않음, 임베디드 리눅스일부에서 사용하는 파일시스템
이제 encase를 실행시켜보자..(교육중 받은 demo 위주로 화면 캡쳐합니다.)
Run EnCASE DEMO 를 클릭 하면 다음과 같다.
Tool -> Options
Data : yy/MM/dd
Time : 24:00:00
Show True : Yes 로 변경
Encase 기본 메뉴화면은 다음과 같다.
데모라 New 클릭이 안됨..ㅋㅋ
New : 새로운 분석창을 띄우는 메뉴
Open : 기존에 저장한 분석 파일을 여는 메뉴 확장자는 .cas .case로 됨
Save all : 지금까지의 작업 상태를 보존하며 cas, case로 저장됨
File -> New 클릭하면 다음 메뉴가 나온다.
분석관련 파일을 별도의 드라이브(OS와 분리된)를 사용하고 분석후에 wiping 하는것이 바람직하다.
보다시피 메뉴가 변경있다..(이미지 내용은 데모에서 제공된 이미지 파일 내용임)
Table Pane의 기본 메뉴에 대해서 알아본다.
Table 메뉴
- 파일에 대한 속성등 파일에 대한 전반적인 사항이 나열됨(총 38개?)
Name : 파일 이름
Description : 파일의 속성, 파일인지 폴더인지 삭제 여부와 Overwrite 여부등을 나타냄
- Deleted File(folder) : 파일이 삭제되었고 겹쳐쓰기 되지 않음 ,완전 복구 가능
- Deleted, Overwritten file : 삭제되고 다른 파일에 의해 덮어써짐, 완전복구 불가능
- Deleted, Overwritten folder : 삭제되고 다른 파일에 의해 덮어써진 폴더
IS Deleted : 삭제 파일에 체크되는 부분
Last Access : 마지막 파일 접근시간
File Created : 파일 생성 시간
Last Written : 파일 수정 시간
파일과 폴더의 Type
- invalid Cluster : Directory entry가 파일명을 가지고 있지만 시작 클러스터 값을 가지고있지 않은 경우로 보통 시작 클러스터가 0으로 변경됨, 파일 내용이 어디에 있는지 알지 못함
- Folder, Invalid Cluster : File Type bit Folder로 지정되고 시작 클러스터가 0으로 지정된 Directory Entry
- Moved File/Folder : 파일 이동시 directory Entry 삭제되고 새위치에 만들어짐
- Unallocated Space, MBR, Unused Disk Area, FAT Tables, Volume Slack : 시스템이 관리하는 디스크의 특정영역으로 어떤 파일도 이 영역을 할당받아 사용하고 있지 않음을 뜻함
- Internal File : NTFS, HFS, EXT2와 가은 OS에 의해 생성되는 파일
- Recycled Bin : 대상 컴퓨터의 휴지통
- Lost File : NTFS 파일 시스템에만 나타남, Parent 가 삭죄되어서 자신의 위치를 찾을수 없는 파일
Gallery 메뉴
그림 파일을 한눈에 알아 볼수 있도록 구성
성인 컨텐츠에 대한 증거 수집시 편하게 수사하기 위한 기능
Time Line 메뉴
파일을 시간대별로 확인
생성/수정/접근/삭제시간 별로 표시가 가능
용의자 알리바이, 사건 정황등을 파악하는데 목적이 있음
View pane의 매뉴를 살펴 본다.
Text : 해당 파일의 내용을 text 형식으로 보여줌
Hex : 해당 파일의 내용을 16진수 형식으로 보여줌
Picutre : 이미지인 경우만 보여줌
Doc : 외부 프로그램과 연결된 경우 바로 파일의 내용을 보여줌
Transctript : 일부 깨지는 내용은 호환되는 부분만 변경해서 보여줌
Report :해당 파일에 대한 보고서, 파일의 속성, 권한등을 보여줌
이제 encase를 이용해서 주어진 이미지에서 recover folder 및 삭제 파일 확인 및 헤더값 변경 & 확장자 변경 된 파일을 찾는 법까지 확인 해본다.
1.데모버전으로는 case 생성이 안되므로 데모와 같이 제공된 이미지를 이용하여 분석하기로한다.
제공된 이미지를 불러 들인 현황 (hunter xp)
참고> 주어진 이미지 추가하는 방법
아래 그림에서는 비활성화 되어 있지만..
ADD Device -> Evidence File -> New -> 파일 선택 후 다음 클릭후 마침 선택하면
자동적으로 Verify가 진행되며 Verify 된 값을 확인하여 원본 이미지와 Verify 된 이지미 HASH 값 확인하여 분석 보고서에 기입해야합니다.(사본에 대한 무결성 확인)
2. Recover folders 를 실행함.
3. is Deleted tap 및 Description 위치를 조정한다..(아무래도 한 화면에 보기 용이하게 하려면...)
전체 이미지에서 삭제된 파일을 파악하기 위해 is Deleted tap을 클릭하여 Sorting 한다..
삭제된 파일을 한눈에 파악 가능한다.(보고서에 몇개의 파일 및 폴더가 삭제 되었는지 기록 한다.)
overwritten 되지 않았으면 복구 가능하다.
추가적으로 헤더값 변경이나, 확장자 변경을 찾기 위해서 Search 클릭 -> Verify file Signature 체크하여 Start 시킴
화면 우측 상단에 진행상황에 대한 내용이 표기 되며 완료 되면 아래와 같음
Signature 을 보면 !band Sinaguture , *compond documnet 등의 형태가 보일것이다. 내용은 다음과 같다.
!bad Signature : 파일 헤더값 변경
*compond documnet : 파일 확장자 변경
다음 포스팅은 이번 포스팅에서 찾은 삭제 파일복원 및 헤더값 변경 및 확장자 변경된것을 복원 시키는 과정을 살펴 본다.
출처 : http://extraman.tistory.com
댓글