EnCase v7 새로운 기능

EnCase 가 많이 쓰이는 이유는 경찰기관에서 상당히 많이 쓰기 때문이다.

EnCase v6 부터 국내에 들어 왔고, 국내에 제일 많이 들어온 Version 이다.

EnCase v7 새로운 기능 ​ 사용자에게 직관적인 분석이 용이한 GUI 제공 Evidence Cache 기능을 통해 Case 처리 시간 다축 Indexing 엔진의 효율 증가로 검색 기능 향상 사용자가 수정 가능한 보고서 템플릿 기능 추가 스마트폰 분석 기능 제공 파일시스템 분석 추가 지원(Ext4, HFSX, Microsoft@2010..) EnCase Decryption Suite(ED5) Module EnCase Physical Disk Emulation(PDE) Module EnCase Virtual File System(VFS) Module 증거 수집 / 분석 통합 지원도구 멀티 플랫폼의 데이터 분석 조사 (다양한 파일시스템 분석지원) 은닉 또는 삭제된 파일복구 지원 증거파일 공유 조사보고서 지원 Encase Workflow (Preview and processing of case data, Analysis of Evidence, Reporting of Findings)

ㅇ 사용자에게 직관적인 분석이 용이한 GUI 제공

EnCase v6 는 Graphic User Interface 가 XP 스타일이었다. 전 세계적으로 상당히 유용한 프로그램인 EnCase v6 는 투박적인 GUI가 싫다는 수사관의 요구에 따라 바뀐게 현재 EnCase v7 GUI 이다.

EnCase v7 의 GUI 는 웹 브라우저 형태를 따라 간다.

ㅇ Evidence Cache 기능을 통해 Case 처리 시간 단축

Evidence Cache 란건 분석한 데이터를 저장한 건데 당연히 있어야 하는 기능이나, 예전 버전에는 없었다. 분석한 데이터들이 저장이 안되고 에러가 발생한 부분이 있었다.

ㅇ Indexing 엔진의 효율 증가로 검색 기능 향상 

Indexing 엔진은 우리나라에서 사용하기가 별로다. 왜냐면 우리나라 언허는 한글이고, 2바이트 언어 자체에 대해 Indexing 작업이 껄끄럽고 잘 되지 않기 때문이다.

동아시아에 대한 문자표현에 대해서 지원을 한다곤 하나, 제대로 Indexing 처리가 되질 않는다.

ㅇ 스마트폰 분석 기능 제공

상용 포렌식 소프트웨어의 특징은 하나의 기능을 가진 Tool 이 아닌 다양한 기능을 모아놓은 프로그램이다. 스마트폰 분석 기능은 별로 기대하지 않는게 낫다.

ㅇ 파일시스템 분석 추가 지원

파일시스템에 대한 분석은 당연히 해야하는 부분이다. 리눅스 파일시스템 지원을 안하고 윈도우만 한다면... 윈도우는 국내에서 90% 쓰지만 해외 같은 경우 리눅스 파일시스템 지원을 안하면 크게 이슈가 될 부분이다.

ㅇ 증거 수집 / 분석 통합 지원도구

증거 수집도 같이 할 수 있다. 너무 급한 나머지 기관이나 업체에서 디스크 장치 원본을 가지고 오면 안된다. 그러나 원본을 가지고 왔다면, 만약 Lab 이 아니고, 쓰기방지장치도 없다면... Dongle Key 만 있다면 먼저 수집을 해야한다.

원본에 대한 무결성을 훼손하지 않고 증거수집을 해야한다.

EnCase v7 은 소프트웨어 방식의 쓰기방지 모듈을 지원해서 그걸 이용하여 증거를 수집하고 분석해야 한다.

증거수집에 있어서 하드웨어 방식과 소프트웨어 방식이 있다.

​

하드웨어 방식 - 말 그대로 디스크에 대해서 이미징, 미러링 하는 전문화된 장비다. 사물을 생성하기 ​위한 장비이며, 복제, 이미징 작업에 대한 전문화된 장비다.

하드웨어 전용의 쓰기방지장치도 있다. 국내 가격이 600만원이 넘어서 중소기업이나 교육기관은 부담이 되는 장비이다.

여러가지 방법이 있으니 상황에 맞게 쓰면 된다.

만약 출장을 가서 사고가 터졌는데 현장에 하드웨어 장비가 없다면..

만약 현장에 하드웨어 쓰기방지 장비가 있다면 그때는 소프트웨어와 같이 사용해야한다.

그대로 쓰기방지만 연결해서 수집해도 되나 전자적인 문제에 의해 만에 하나 원본에 훼손이 갈 수 있다. 

소프트웨어를 통해 사물을 생성할 수도 있다.

이런 소프트웨어는 EnCase, 또는 FTK Imager 을 쓰면 된다. 쓰기방지 장비를 연결하고 FTK Imager 로 이미징을 할 수 있다. 현재 연결된 장치를 불러서 이미징하는 작업이다.

소프트웨어 방식 - 레지스트리 수정을 통해 추가된 외장 저장장치에 대해 쓰기를 블록해버린다.

EnCase Tool 을 통해 내장되 있는 FastBlock 기능을 통해 쓰기방지 장치를 사용하면 된다.

하드웨어에 전문화된 도구, 쓰기방지 장치를 통한 소프트웨어 방식 두 가지가 있다.

​하드웨어 장비의 경우 단가는 떨어지나 속도는 높아질 수록 좋다. 속도를 중요시하는 분석팀으로선 어쩔 수 없이 장비를 구입해야 한다. 어딜 가더라도 차량에 미리 구비를 해야하며, 안정성 면에서도 안전하다. 이론상 속도가 21GB 이다.

소프트웨어 장비의 경우 노트북, 워크스테이션에 연결해서 쓴다면 USB2 아니면 USB3 일 것이다. 속도가 빨라야 150Mb.. 상대가 안된다.

​위와 같은 방식이 있다.

​

EnCase 도구가 있다면 위와 같이 두 군데에서 사용할 수 있고, 이렇게 사용할 수 있는 경우를 아는 것보다 활용할 수 있는 경우를 알고 있다면 어떻게 해서든 사용할 수 있다.

​

ㅇ 멀티 플랫폼의 데이터 분석 조사 (다양한 파일시스템 분석지원)

​

멀티 플랫폼 데이터 지원, 은닉 삭제된 파일 복구 지원 역시 있어야 하는 기능이다.

전문화된 복구 솔루션들을 따라갈 수 없다. 그들만의 노하우가 있기 때문에.

무조건 복구를 해야 한다면 R-Studo or Recover My Files 같은 전문 솔루션들이 있고 이것들은 Demo 버전을 구할수도, 저렴히 구할 수 있다.

​

예를 들어보자.

A라는 사람이 퇴직을 했다. 근데 내부 보안 절차가 없는 회사인 경우 다른 B라는 후임자가 올 것이고 B라는 후임자는 A라는 PC를 포맷해서 이어서 쭉 사용할 것이다. 물론 포맷을 하고나서.

​

1년이 지났는데 1년 사이에 우리 회사의 수준을 따라올 수 없던 경쟁업체가 우리 업체를 따라올 만큼 기술이 비슷해졌고, 왜 그런가 봤더니 퇴사한 A 사원이 경쟁업체에 입사를 했었다.

미리 판단할 수 있는 문제이고 꾸준히 감사를 하는게 좋다.

그래서 1년이 지난 디스크를 가져와서 찾아 내라하면, 답이 없는 것이다.

포맷하고 2-3달 지난 디스크 역시 답이 없다. 우연찮게 일을 잘 안한 디스크라면 복구가 가능하나 웬만하면 확인을 꼼꼼하게 하고, 경쟁업체에 갈 수 있는 퇴직자라면 당연히 한번은 감사진행을 해보는게 좋다.

감사라는게 표현이 그렇지, 현황에 대해서 판단하고 싶거나, 퇴직한 순간에 이미징 작업을 하면 된다.

기술유출을 통해 회사가 얻는 손해랑, 디스크 하나를 사서 복제를 해놓고 나서 얻는 손해랑 어떤 차이일까?

웬만하면 퇴직자에 대한 관리가 아주 중요하다. 퇴직 예정자 역시 중요하다. 퇴직 예정자는 잦은 감사를 통해 식별이 가능하다.

웹 사이트 흔적, 이력서라든지 파일 이동 갯수가 많다던지, 데이터를 조금씩 삭제한다던지 정리를 해나가기 시작한다. 나같아도 그럴 것이다. 내가 필요한 정보들은 미리 폴더를 만들어 압축해서 보관하고 옮길 것이다.

이렇게 삭제된 데이터를 어떻게 확인할까? 저렇게 삭제된 데이터를 통해 훼손이 되지 않았다면 삭제된 파일은 눈에 보이지 않을 뿐 존재는 한다. 얼마나 잘 보존이 되어 있느냐 문제다.

EnCase v7 은 파일 복구지원도 하지만 위와 같은 상황을 알고 있으면 좋다.

ㅇ 조사보고서 지원

EnCase 보고서 지원은 크게 신경쓸 필요가 없다.

국내 같은 경우 기업내부 자사 양식이 따로 있다. EnCase 만의 양식이 있으나 EnCE 자격증을 취득할 생각이 없으면 보고서를 쓸 필요가 없다. 쉽게 말해 암이 걸릴정도로 갑갑하다. 우리나라 정서에는