EnCase 7 의 하드웨어 요구 사항과 환경설정

EnCase 를 실행하기 위해 요구되는 이상적인 하드웨어 환경설정은 매우 중요하다.

하드웨어 환경을 제공하지 않는다면 EnCase 7 을 제대로 사용할 수 없을 것이다. 바꿔 말하면 EnCase 7 을 사용하기 위해 적절한 컴퓨팅 자원을 사용하고, 그에 맞는 환경설정을 한다면 EnCase 7 의 기능과 성능에 만족할 것이다.

가이던스 소프트웨어의 하드웨어 권장 사양

장비	권장 사양
메모리	16GB 이상
저장 장치	1번 드라이브 : 운영체제 및 페이지 파일  2번 드라이브 : 증거물  3번 드라이브 : 주 증거 캐시 - 이 드라이브의 속도는 가능한 빨라야 함
CPU	쿼드코어 i7 이상
운영체제	Windows 7 or Windows Server 2008 x64 이상

EnCase 7 은 기능 전반에 걸쳐 증거 캐시를 읽고 쓰기 위해 고성능의 저장장치를 필요로 한다.

이전 버전으 EnCase 에서는 RAM 에 저장되는 데이터들이 EnCase 7 는 증거 캐시에 저장된다.

증거 캐시를 읽고 저장하기 위해서는 가능한 한 가장 빠른 속도를 낼 수 있게 SSD 를 RAID 0 으로 설정하는 것이 타당하며 RAID 0 설정을 사용하는 경우 데이터가 손실될 수 있는 문제를 해결하기 위해 EnCase 7.04 버전부터는 백업 기능을 지원하는데, 30분마다 증거 캐시와 사건 파일을 백업한다.

같은 방식의 EnCase 증거 처리기 기능

운영체제 디스크는 캐시 파일과 임시 파일을 자주 읽고 쓴다. 이 외 운영체제 디스크는 어떤 플랫폼이던지 특히 포렌식 플랫폼에서는 매우 빠르게 동작하는 디스크다. 그래서 운영체제에 SSD 를 사용하는 것이 바람직하다.

마지막으로 증거 파일을 읽기 속도가 빠른 로컬 시스템 버스를 사용할 수 있는 곳에 저장하길 원할 것인데 RAID 5 기반 하드웨어는 빠른 읽기 속도를 보장할 뿐만 아니라 RAID 5 에서 발생할 수 있는 단일 디스크의 오류에서 중복성에 대한 추가적인 이점을 제공한다.

증거 캐시를 네트워크 결합 스토리지 NAS(Network-Attached Storage)에 저장하는 것을 고려하는 사람들이 있지만 그렇게 해서는 안된다. 성능이 시원찮을 것이다.

EnCase 의 백업 기능과 증거 파일을 여분으로 복사하기 위한 백업 목적으로 네트워크 저장 장치를 사용하는 것은 잘한 일이다.

광케이블로 연결된 SAN(Storage Area Network)은 공유된 자원으로 대역폭도 공유된다.

EnCase 7 은 모든 데이터에 대한 처리율이 최적화됐을 때 가장 좋은 성능을 발휘한다.

전문가가 권장하는 하드웨어 사양

장비	권장 사양
메모리	16GB 이상 (용량이 클수록 좋음)
저장 장치	1번 드라이브 : 운영체제 및 페이지 파일(SSD 사용)  2번 드라이브 : 증거물(RAD 5를 사용하면 읽기 속도가 증가함)  3번 드라이브 : 주 증거 캐시 - SSD 를 RAID 0 설정으로 사용
CPU	쿼드코어 i7 이상
운영체제	Windows 7 or Windows Server 2008 x64 이상

​플래시 메모리의 셀이 시간이 지남에 따라 성능이 저하되는 것처럼 플래시 메모리를 기반으로 하는 SSD도 시간이 지나면 성능이 떨어지는 것을 경험하게 된다. 성능 저하는 SSD의 제조사와 품질, 사용량 등에 좌우된다. 반면에 플래터 기반 디스크 또한 시간이 지남에 따라 속도가 떨어진다.

그래서 완벽한 해결책은 없기 때문에 여러 요소와 함께 예산과 낮은 성능에 대한 허용치에 따라 결정해야 한다.