EnCase v7 메뉴 살펴보기

Case 를 관리하는 Case 메뉴가 있고, 현재 Evidence Case 가 생성되어 활성화 된걸 확인할 수 있다.

현재 Evidence 라는 사건명으로 사건이 만들어진 상태이다.

각 메뉴를 살펴보면

 

 

Case(Evidence) -> Case Backup ->

Case Backup 에 대한 메뉴이다.

 

EnCase 를 다루면서 제일 많이 사용하는 View 메뉴다. 분석한 결과들이 View 메뉴를 통해 탭 형식으로 확인할 수 있다.

웹 브라우저에서는 탭이 추가가 된다. 그런 형식으로 EnCase v7 에서도 결과가 탭이 추가되는 식으로  설계되어 있다.

 

Tools 메뉴는 도구를 사용해서 작업을 할 경우에 Tools 메뉴에 있는 기능을 사용한다.

EnScript 메뉴는 별도로 Script 를 등록해서 사용할 수 있다.

Freeware 중에 Autopsy 라는 솔루션이 있는데 상당히 좋다. 원래 기술이 안좋았었는데, 일본 쪽인가?

회사에서 엄청난 지원을 받아 많은 업그레이드가 되었다.

만약 상용화된 Tool 이 없다면 Autopsy를 추천한다. Autopsy 솔루션도 상당히 좋다. phyton을 통해서 모듈을 개발해서 추가할 수 있는데, 그런 것처럼 EnCase 도 C# 언어를 통해 추가를 할 수 있다.

가이던스사에서 무료로 다운로드할 수 있고, 이것만 개발해서 파는 개발자들도 있다.

 

 

Add Evidence 메뉴는 증거를 추가하는 메뉴이다.

EnCase v7 증거파일

Disk 사본을 만들 때 형태가 복제를 하는 미머링 형태, 이미징 작업 형태 가 있다.

이미징 작업이 제일 많이 쓰이는 확장자가 E01, dd 다.

dd 를 아직까지 쓸까? 라는 생각을 하는데, 구지 dd 명령을 안내릴 뿐이지 바이너리 dump 를 실행하는

솔루션들이 상당히 많다.

특히나 휴대폰의 경우

휴대폰의 경우 바이너리 dump 로 획득해야 한다. 대부분 확장자만 다를 뿐이지 바이너리 dump 로 실행되고 dd 는 리눅스상에서 하게 되며 윈도우상에선 구지 바이너리 dump 로 만들진 않는다.

E01

Windows 기준으로 E01을 제일 많이 쓴다. 다른 확장자들도 충분히 많다. 근데 E01을 많이 쓰는게 구조상 head 부분이 있는데 head 부분에 Case 정보를 넣을 수 있다. Case 이름 정보를 이것은 EnCase만 지원하는게 아닌 FTK, Autopsy, X-Ways 등, 포렌식 솔루션에서 E01을 지원한다.

E01은 가이던스 소프트사에서 만든 확장자인데 왜 많이 쓰이느냐?

head 정보에 Case 정보를 간단히 넣을 수 있고 포렌식 하드웨어 솔루션을 이용하여 이미징 작업을 하건, 소프트웨어로 이미징 작업을 하던 간에 Case 이름을 넣을 수 있다. 간단한 Case 정보가 들어가고 데이터가 들어가고 CRC가 들어간다. CRC는 검증을 하는 기능이다.

구조가 이렇게 되어 있다.

데이터 - CRC - 데이터 - CRC - 데이터 - CRC - 데이터 - CRC 이렇게 반복되다가 마지막에 가장 중요한 해시값이 들어간다. MD5 나 SHA-1 이 들어가며 가장 중요한 부분이다. 그리고 용량 분할도 할 수 있다.

E01 ~ EFF 까지 분할할 수 있다. 그래서 중간중간 데이터들에 대해 CRC를 넣고 데이터를 분할하고 CRC를 넣고, 이런 부분 때문에 E01 이미징 자체가 많은 인정을 받게 되었다.

그래서 예전에 이런걸 잘 모를 땐 해외쪽에서 복제를 뜨지 않고 파일을 내보내면 어떻게 안정성을 검증하느냐, 어떻게 데이터가 변환되지 않은걸 증명하느냐? 라고 물어지는 경우가 상당히 많았다.

이 상황을 변호사들이 설명을 못하면 한번 숙이고 들어가는 상황이 된다.

한번쯤은 포렌식 분석을 하다가 자의든 타의든 간에 재판에 분석관으로 참석하게 된다. 그럼 물어 본다. 물고 늘어지려고 말도 안되는 기술에 대한 걸 물어 본다.

예전에는 재판관이 몰랐기 때문에 많이 물었고, 요즘은 포렌식 교육을 다 받기 때문에 예전보단 낫다.

이런 부분은 재판관도 모르기 때문에 검찰측에선 자기가 알고 있으니 물고 늘어질 수 있다. 만에 하나 분석해서 참관했는데 안물어 보리라는 생각은 하면 안되고 알고 있어야 한다. 많이 물어보고 예전에는 이 설명으로 시시비비를 많이 가렸다. 해외 사례에서.

이리하여 E01 포맷은 웬만한 솔루션을 지원하게 되었다.

그리고 EnCase v7 부터 Ex01 포맷을 만들기 시작했다. 요즘에는 하나,둘 씩 이미징 도구들이 Ex01을 지원하기 시작한다.

Ex01 포맷은 자체가 암호화되어 있고 이미지 파일에 암호를 걸 수 있다. 한번더 보호를 하게 된다.

아직까지는 기술투자를 해야할 부분이라 아직까지는 많은 솔루션들이 지원을 안하는 부분이 있기도 하지만, 지원을 하고 있다.

Ex01 포맷에 대해 중간에 엔진이 한번 바뀌었다. 암호화 처리를 하는 부분은 좋은데 상당히 느렸다. 시간이 상당히 오래걸리므로 결국 E01 을 쓸 것이다. 그래서 중간에 엔진이 바뀌었다.

L01은 요즘에 많이 지원하는데 Logical Evidence 파일이다.

하드디스크에 활성화된 데이터만 이미징을 하는게 아니다. 물론 할 수는 있지만 사용자가 직접 지정하지 않는 이상 자동으로 처리할 때 디스크 전체에 대해 이미징 작업을 하는데 구지 증거 사본을 제출 할 때, 사본 파일 조차도 물고 늘어 지는 경우가 있다.

파일 하나하나 분석해서 주면 손상되지 않았으리라고 증명할 수 있냐고 시간을 끌지만 증명을 할 수 있다.

예로, 기술 유출이라든지 관련해서 100여개 사진, 엑셀파일이 그대로 지워졌다. 그리고 압축을 헀다던지 해시값도 없이 준다면, 이렇게 쌩뚱맞게 주면 이걸 어떻게 확인하냐고 시간을 끌 목적으로 물고 늘어질 수 있다.

그래서 L01 포맷은 증거  파일들을 담아주는 목적이다.

논리적인 파일들에 대해서 컨테이너 형식으로 증거들을 담아주는 형식이다. 그럼 이 작업에 대해서도 해시값을 생성할 수 있고 요즘에 많은 지원을 한다.

EnCE 시험이 EnCase를 활용하여 능력을 평가하는 문제인데, 일반적인 솔루션의 시험관 다르게 EnCE 는 EnCase만 알면 절대 안된다. 포렌식에 대한 개념, 서버, 운영체제, 파일시스템에 대한 기본지식을 알아야 하고 여기서 활용하는 E01, L01 을 묻기도 한다.

E01을 잘 알면 왜 저걸 써야 하는지, 데이터구조에 대해서 왜 쓰는지 알고 있으면 하나를 더 알게 된다.

 

제일 많이 사용하는 옵션이 Add Local Device 와 Add Evidence File 이다. Add Local Device는 현재 연결되어 있는 장치들을 읽어 들이는 기능이고 Add Evidence File은 이미징 작업된 File에 대해서 불러오는 기능이다.