디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. 쓰기방지
  • 2. 도구(프로그램)을 이용한 물리 이미징(Physical Imaging)
  • 3. EnCe를 활용한 물리이미징
  • 3-1. 케이스 생성하기
  • 3-2. EnCase를 이용한 이미지 획득
  • 3-2. E01,Ex01 이미지 획득 후 Raw 이미지 획득
  • 4. 연습 방법
  • 4-1. 개인 USB로 연습해보기
  • 4-2. 가상디스크로 연습해보기
  • 5. 정리
  • + @(시험 외 공부용)
  1. 디지털포렌식전문가 2급 실기와 친해지기(실기)
  2. 1. 디지털 포렌식 실기 준비하기
  3. 2. 섹터와 사본 이미지 생성

2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)

Previous2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)Next(연습용) 가상디스크 만들기

Last updated 5 months ago

이제부터는 필수로 시험을 위하여 숙지하고 가셔야 하는 장입니다. EnCase로하시는 분들은 활용하시면 도움이 되실거라 생각합니다. 무료도구로 시험대비 하시는 분은 이전장 > 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지) 을 참고하세요! 시험에 크게 중요하지 않은 부분은 최대한 제외하였고, 더 공부해보고 싶은 분은 가장 마지막을 참고해주세요.

1. 쓰기방지

  • 실제 시험 또는 현장에서 발견된 디스크 또는 저장매체의 경우 내 컴퓨터에 연결하는 순간 디스크의 내용이 1이라도 변하지 않는다는 보장이 없습니다.

  • 따라서 쓰기방지 또는 읽기전용 모드로 내PC에 연결하여야 합니다.

  • 쓰기방지 전용 하드웨어도 있긴 하지만, 시험에서는 소프트웨어적인 쓰기방지를 사용합니다.

1. EnCase의 FastBloc를 이용한 쓰기방지 설정

  1. 먼저 증거 USB를 연결하기 전에 EnCase의 Tools - FastBlock SE... 을 선택 하여봅시다.

  2. 먼저 Write Protected, 또는 Write Blocked 를 선택 한 뒤 게이지가 움직이고 있는 상태에서 USB를 연결하면 Write Protected, 또는 Write Blocked 에 표시가 되면서 쓰기방지가 설정됩니다.

    Write Protected 의 경우 아래와 같이 쓰기가 금지가 되어 파일을 넣을 수 없습니다.

    Write Blocked 로 설정할 경우 아래와 같이 USB에 데이터가 저장 가능한 것처럼 보입니다. 그러나 다시 재연결을 할 경우 실제로 저장한 내용이 없습니다.

    시험에서는 Write Protected로 연결하는 것을 추천합니다!

  3. [주의사항] 쓰기방지 설정한 이후에는 FastBlock SE는 동작할 이유가 없기 때문에 끄도록 합시다. 만약 제출용 USB에 쓰기방지 설정할 경우 FastBloc 와 상관 없이 USB 저장매체 자체에 쓰기방지를 설정하게 됩니다. 따라서 제출용 데이터를 저장할 수 없을 수 있습니다. 쓰기방지를 해제하고 싶은 경우 FastBloc SE에서 None를 선택 한 뒤 해당 USB를 연결 해제하였다가 다시 연결하면, 쓰기방지가 해제 됩니다.

    증거분석 대상 USB는 굳이 쓰기방지를 해제할 필요는 없을 것입니다. 만약 시험지에 쓰기방지를 해제하라는 내용이 있을 경우 위의 방법으로 쓰기방지를 해제하면 됩니다.

2. 도구(프로그램)을 이용한 물리 이미징(Physical Imaging)

  • 저장매체는 매우 용량이 크기 때문에 도구(프로그램)를 사용하여 물리이미징 파일을 생성하게 됩니다.

  • 실무에서도 대부분 도구로 사본 이미지 파일을 생성하게 됩니다. 시험에서도 필수로 해야 하는 작업으로 여러 번 반복하면서 익숙해지면 됩니다!

3. EnCe를 활용한 물리이미징

  • FTK Imager를 이용하여 물리이미징을 하여도 크게 문제 없이 진행할 수 있습니다.

  • 시험을 위해서라면 개인적으로는 FTK Imager를 이용하여 Raw로 물리이미징 하는 것을 추천합니다. 그럼에도 EnCase로 획득하는 방법은 알아두는 것도 필요하기에 참고로 알아두도록 합시다. > 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)

3-1. 케이스 생성하기

※ EnCase로 사본 생성을 할 경우 FastBlock SE로 쓰기 방지 설정 후 진행해야 합니다.

  1. 먼저 New Case를 선택하여, 케이스를 생성합니다.

  2. 케이스 명, 저장 경로를 선택합니다. 저장 경로의 경우 용량이 충분한 디스크를 선택해야 합니다. 가능하다면 C드라이브 용량이 충분하다면 C드라이브를 선택하는 것을 추천합니다. Use Base case folder for primary evidence cache의 경우 체크 Bakcup every 의 경우 30분 정도로 저장 하여도 좋고, 하지 않아도 무방합니다. (대신 저장 버튼을 중요할 때 잘 누르면 됩니다.)

3-2. EnCase를 이용한 이미지 획득

  1. 케이스를 열고 난 뒤 Evidence 에서 Add Evidence를 선택합니다.

  2. Add Device를 선택한 뒤 모두 체크를 해제하거나, Only Show Write-blocked를 선택합니다. - Only Show Write-blocked : 쓰기방지 한 것만 표시됨 다른 메뉴를 체크할 경우 다음으로 넘어가 는게 매우 느려지는 경우가 있기 때문에 꼭 모두 체크해제하거나, Only Show Write-blocked 만 선택 합니다.

  3. 저장매체의 전체 물리이미지를 획득을 위해 저장매체 최상위를 선택해야 합니다. [Only Show Write-blocked 선택한 경우]

    [모두 체크해제] 한 경우 Write Blocked , USB를 정확히 확인 후 최상위 저장매체를 선택합니다. *가상디스크의 경우 쓰기방지가 안되기 때문에 만약 가상디스크로 연습 이미지를 만들거나 분석할 경우 모두 체크 해제 후 선택하여야 합니다.

  4. 저장매체가 입력된 후 우클릭 - Process Evidence - Acquire를 선택합니다.

    또는 저장매체를 클릭 한 뒤 폴더 경로가 보이는 메뉴에서 우클릭 - Acquire - Acquire를 선택

    또는 메뉴 우측에 Acquire - Acquire를 선택합니다.

  5. Name에서 파일명, Output Path 에서 저장 경로를 선택합니다. 사건번호, 케이스번호, 분석자명 등은 크게 중요한 건 아니니 간략히 작성합니다. (시험에서 요구사항이 있을 경우 입력합니다.) Format 탭에서 Evidence File Format 에서 E01, Ex01 어떤 것을 선택하여도 무방합니다. 다만 File Segment Size의 용량을 넉넉히 하여 하나의 파일로 설정해 봅시다. (물론, 필수는 아니며 기본값으로 해도 무방합니다.)

  6. 이미지 획득 진행 중 취소하고 싶은 경우 우측 하단에 Acquire를 더블클릭 하면 취소를 할 수 있습니다.

3-2. E01,Ex01 이미지 획득 후 Raw 이미지 획득

파일시스템이 훼손된 상태입니다. 쓰기방지를 하지 않고 디스크 포맷을 하면 당연히 원본을 훼손하는 것입니다. 이 경우 파일시스템 복구를 진행해야 합니다. 복구를 위해선 E01, Ex01으로는 복구를 할 수 없습니다. E01 파일을 Raw 이미지로 획득해야 합니다. (FTK Imager를 이용합니다.)

  • E01 이미지 타입의 경우 EnCase Evidence File Format (EWF, EnCase Evidence File)의 한 유형입니다. OpenText의 EnCase 도구에서 주로 사용하며, 많은 포렌식 도구에서 활용하고 있습니다. 여러 기능이 있으나 압축 기능이 있어 용량이 큰 물리이미징을 할 때 효율적 관리가 가능합니다.

  • 단점으로는 압축 및 중간중간 체크썸도 있어 e01 이미지는 수정할 수 없습니다. 애초에 무결성 보장을 위해 만들어진 구조로 수정이 불가능합니다. 따라서 해당 이미지로부터 Raw를 추출하여 수정 및 분석이 가능합니다.

※ 만약 시험 문제에 증거 사본 이미지를 제출해야할 경우! 최근에는 사본이미지를 제출하는 경우는 잘 없었던 것으로 보이는데 혹시나 제출이 필요한 경우라면 증거 USB를 바로 E01로 수집한 뒤 해당 이미지를 증거로 바로 제출하는 것을 추천합니다.(용량 때문) 물론 Raw 이미지도 충분히 증거 능력이 있기 때문에 문제는 없습니다. 다만 Raw 이미지의 경우 E01과는 달리 용량이 매우 크기 때문에 만약에 증거제출용 USB용량이 분석 대상 USB보다 클 경우에만 복사가 가능할 것입니다. 또한 RAW 이미지는 증거제출용 USB에 이미지를 생성하거나 복사해서 넣는 것도 매우 오랜 시간이 소요될 것입니다.

EnCase 에서 Raw 이미지 획득 방법 (참고)

  1. 저장 매체 우클릭 - Disk View 선택합니다.

  2. 디스크 뷰에서 우클릭 Export 선택 후 0번 부터 마지막 바이트 까지 전체 입력 후 출력하면 Raw 이미지 획득이 가능합니다.

  • 다만 이 방법을 사용하기 위해서는 정확한 바이트값 계산등이 필요하며, 실수로 잘못 입력하거나 할 경우 원본이 훼손된 데이터가 추출될 수 있기 때문에 조심히 사용하여야 합니다. 또한 FTK Imager를 이용하면 파일시스템 복구를 보다 편한 방법으로 할 수 있기 때문에 가능하면 FTK Imager 사용법도 익혀두는 것을 추천합니다.

[FTK Imager를 이용하여 E01 에서 Raw 이미지 생성]

  1. E01 또한 사본 이미지이기 때문에 Raw로 이미지 생성이 가능합니다. File - Create Disk Image 후 Select Source에서 Image File 선택 한 뒤 E01 파일을 선택하여 봅시다. (반대로 Raw에서도 E01로 이미지 생성도 가능하며, E01에서 E01 생성도 가능합니다.)

    Add - Raw 이미지 타입으로 선택하여 동일하게 생성할 수 있습니다.

  2. 아래 Verify images after they are created 체크를 해제합니다. 선택해도 상관없으나, 시간이 2배로 걸립니다. (재확인용) Image Type의 경우 Raw로 선택합니다.

  3. Browse 선택 후 저장할 폴더 설정, Image Filename에서 파일명을 선택합니다. 이후 파일시스템 복구 등에도 활용하기 위해 Image Fragment Size의 경우 0으로 설정합니다. (이 옵션은 용량이 큰 경우 여러 파일로 나눠 저장을 위한 용도입니다.) Finish 이후 Start를 선택하여 사본 이미지를 생성합니다. 대략 1GB 용량당 1분 미만 정도로 소요되는 것으로 보입니다. 다만 최근에는 조금 더 빠른 거 같습니다. (USB3.0 과 같은 인터페이스 속도 등에 영향을 받습니다.)

  4. 완료가 되면 아래 그림과 같이 “Image created successfully” 가 나온다.

  5. 파일이 저장된 경로를 가면 "이미지파일.001" 과 "이미지파일.001.txt" 파일이 있는데 여기서 txt 파일은 이미지 획득 정보가 저장되어 있습니다. (드라이브 모델, 시리얼 넘버, 전체 섹터 수 그리고 해시값 등이 포함되어 있다.) 이 해시값은 추후에 답안작성, 분석보고서 작성에 활용합니다.

  6. 위 과정을 통해 생성한 이미지파일.001를 이용하여 파티션 복구 및 분석을 진행하게 됩니다.

4. 연습 방법

4-1. 개인 USB로 연습해보기

  • 개인적으로 추천하는 방법으로 용량이 적은 개인 USB에 아무 파일이나 넣고 위의 과정을 한번 해보는 것입니다.

  • 다만 이미지 생성 자체는 매우 간단한 것이기 때문에 한두 번만 해보면 시험장에서도 자신 있게 수행하시면 됩니다. 추천 연습 > 1. 문제 저장매체 만들고 풀어보기

4-2. 가상디스크로 연습해보기

  • 아래 링크를 참고하여 가상디스크를 만들고, FTK Imager를 이용하여 이미지 획득 연습하기 > (연습용) 가상디스크 만들기

5. 정리

  1. 한번 다시 정리하면 쓰기방지 설정 후에 증거 사본 물리이미징 파일을 제출해야 하는 문제가 없을 경우 Raw로 이미지 획득 합니다. 만약 문제 중 증거 사본 물리이미징 파일을 제출해야 한다면 E01으로 사본이미지 생성 후 제출합니다. 파일시스템 복구가 필요하다면 E01에서 Raw 이미지를 생성하여 복구 및 분석에 활용하면 됩니다. 파일시스템 복구는 다음장(3. 파티션과 파일시스템 복구)에서 알아보도록 하겠습니다!

  2. 실제 시험장에서 가능하면 해당 PC의 C드라이브 용량을 확인한 뒤 용량이 USB보다 많이 크다면 바탕화면에 폴더를 생성하고 물리이미징 파일을 저장하시는 걸 추천합니다. D드라이브가 있을 수도 있으나, SSD 가 아니라면 분석 시 시간이 많이 소요 될 수 있을 것입니다. 최근 PC, 노트북의 경우 대부분 C드라이브는 SSD나 NVME와 같은 속도가 빠른 하드디스크를 사용하고 있기 때문에 C드라이브에 물리이미징 파일을 두고 활용하는 것이 좋다고 생각되네요. 만약 C드라이브 용량이 작은 경우 D드라이브에 충분히 큰 용량이 있다면, 용량이 큰 드라이브에 이미지를 생성해서 활용할 수 있습니다.

3줄 요약

  1. EnCase의 FastBloc SE를 이용하여 쓰기방지를 완벽히 숙지해야 합니다.

  2. 이미지 수집 후 파일시스템 복구가 필요하면 FTK Imager를 이용하여 RAW 이미지 생성 하도록 합시다.

  3. 이미 획득한 이미지파일 E01이나 Raw이미지(확장자 001)은 얼마든지 새로 이미징 파일을 만들 수 있습니다.

+ @(시험 외 공부용)

  • 만약 물리이미징 부분에 대해서 보다 상세한 내용을 알고 싶다면 - 저장매체, 섹터, 물리이미징 관련 추가 내용 > 2) 저장매체와 섹터 그리고 물리이미징 - 물리이미징 도구 만들기 > 2-3) 물리이미징 수집 도구 만들기(기초)

만약 분석 대상 USB를 연결하자마자 아래와 같이 표시된다면 어떻게 해야 할까요?