4-2. EnCase 활용 분석연습
Last updated
Last updated
다양한 분석 유형이 포함된 가상디스크를 인식하고, 증거 사본 이미지 획득 및 파일시스템 복구를 진행한 뒤 시험에 주로 출제되는 분석 기법을 소개하도록 하겠습니다.
무료도구로 시험 대비하실 분은 4-1. 무료도구 활용 분석연습 으로 이동하셔서 활용하시길 바랍니다.
HxD와 같은 Hex 에디터의 경우 파일을 bit 단위로 읽고, 이를 4byte 를 16진수(Hex) 값으로 표현하고, 수정할 수 있는 도구로 파일시스템 복구, 시그니처 복구 등에 필요한 도구입니다. 기본적으로 포렌식 도구의 경우 수정 기능이 없기 때문에 사실상 필수 도구 입니다.
Hex 에디터 (HxD) 실습도구(HxD) : 도구 사이트 :
Hex 값 기본 설명 및 간단 활용법 > 1. BIT, BYTE, 파일 그리고 Hash
연습용 가상디스크 다운로드
>
EnCase의 경우 전 세계에서 많이 사용하고 있는 종합 포렌식 분석 도구 중 하나 입니다. 다만 유료이며 개인이 구매해서 활용하기에는 매우 비싸기 때문에 연습하기는 어렵습니다. 그럼에도 실무에서 많이 사용하기에 꾸준히 시험에서 사용할 수 있게 해주고 있는 도구 입니다.
실무에서는 다른 도구도 많이 사용하고 있으나, 시험에서는 가능한 최신 EnCase 라이센스를 제공하여 사용할 수 있게 해주고 있습니다. 제 자료의 경우 EnCase 인 V24.2 버전으로 문제 해결 과정을 공유하도록 하고 있으며, 시험에서는 따로 EnScript 등을 가져가지 않는 이상 EnCase가 기본으로 제공하는 기능을 활용해야 할 것 입니다. 따라서 시험에 기출 문제 중 EnCase의 기본 기능으로 활용할 것이며, 추가로 EnCase보다 더 보기 편하고 사용하기 좋은 도구도 함께 정리하도록 하겠습니다.
추후에 다른 도구를 시험에서 제공한다면 해당 도구도 제가 구할 수 있는한 최대한 구해서 공유하도록 하겠습니다. (Axiom이나 X-Way Forensic 등도 많이 사용하나 주관처에서 당분간은 사용할 계획은 없는 것으로 알고 있습니다. 검찰에서 주로 쓰는 CFT/DFT도 충분히 사용할 만 것으로 보이나 시험에서는 제공하지 않는 듯 하네요.)
파일 다운로드 후 압축을 해제 한 뒤 우클릭 - 탑재 할 수 있습니다.
아래와 같이 나올 경우 정상입니다. 실제 시험에서도 이렇게 나온다고 해서 바로 포맷하면 시험은 그대로 불합격이 됩니다.
또는 읽기 전용으로 연결하고자 하는 경우 [Win + X] 를 누른 뒤 디스크 관리를 선택합니다.
동작 - VHD 연결을 선택 후 해당 가상디스크를 선택합니다. (읽기 전용이 필수는 아니나, 가능하면 가상디스크로 연습을 할 경우 읽기 전용 연결을 추천합니다.)
정상적으로 연결된다면 아래와 같이 표시 됩니다. 실제로 시험에서도 증거 USB를 받고, 분석을 위해 연결하였을 경우 아래와 같이 "포맷하시겠습니까?" 할 경우, 파일 시스템이 훼손되어 있을 수 있습니다. 실제시험에서 일부로 훼손하였고, 이를 복구하고 분석하는 문제입니다.
연습용 가상디스크에는 윈도우 아티팩트, 파일 분석을 위한 파일들이 저장되어 있습니다. 아티팩트 흔적의 경우 시간 정보나 기타 메타데이터는 단순 연습용으로 시험에 필요한 부분만 추가 하였으니 연습용 이미지가 완벽하지 않더라도 이해 부탁 드립니다!
