EnCase v7 Add Evidence

 

메뉴에 Add Evidence 탭을 보면 Add Raw Image 기능이 있다. Raw Image 같은 경우는 흔히 알려지지 않은 File System 이라던지, Format 을 통해 만들어진 확장자이고, Image File 이 있으면 활용이 가능하다.

Smart phone dump 는 바이너리 binary 형태이므로 binary dump 를 만들어야 한다.

아직 Smart phone forensic 쪽 특징은 E01 처럼 정형화된 Format 이 없다. binary dump 를 만들게 되는데 확장자도 다르고 앞,뒤에 데이터를 붙이게 된다. binary dump 를 가지고 있는건 분명하지만, 확장자 정리도 안되고 그러다 보니 개발사 자기들 만의 솔루션으로만 분석해야 한다.

타 솔루션을 통해 분석할 수 없다.

Disk forensic 경우 EnCase 에서 만들었다고 해서 EnCase 만 분석하는게 아닌 듯이 다른 솔루션에서도 확인 및 분석이 가능한데, Smart phone Image 의 경우 Raw Image 를 이용하여 확인할 수 있다.

Freeware Tool 중에서도 Smart phone Image 를 생성하는 도구가 있지만 Smart phone 보안 때문에 Imaging 이 안되는게 상당히 많다.

Add Evidence File 기능은 당연히 Evidence File 을 불러오는 기능이다.

 

 

EnCase 는 지원하는 확장자가 아주 적다.

다른 솔루션 중에 확장자를 가장 많이 지원하는 솔루션은 FTK, X-Ways 이다. 가장 많은 Format 을 지원한다.

그러나 현재 보여지는 확장자들이 안 쓸것 같으나 사용을 한다.

VHD

Vitrual Hard Disk : 가상 하드디스크

System Disk 관리에서 만들 수 있다.

 

컴퓨터 - 우클릭 - 관리 - 저장소 - 디스크 관리 - 메뉴 탭 동작 - VHD 만들기

VHD 를 만들면 디스크 관리 쪽에 파일 형태로 가상 디스크가 생긴다. 그걸 마운트 하여 사용하는 원리이다.

자, 이 VHD 를 어떻게 활용하는지 악용하는 예를 들어보자.

기업에는 요즘 막혀있는 경우도 많지만, 아직까진 많이 뚫려 있다.

VHD 에 운영체제를 설치한다. 그럼 부팅도 가능한데, 이렇게 되면 무슨 문제가 생기냐면 운영체제를 이용할 수 있는 Disk 가 논리적으로 2개가 된다.

이렇게 악용하면 보안에 구멍이 생긴다. 실제 사례로 이 VHD 내부 안에 PDF 파일 1GB 짜리가 저장되어 있었다. 물론 확장자가 변경된 상태로 되어 있었다.

이 PDF 파일을 분석하니 압축파일이었고, VHD 를 통해 부팅을 하면 기업 내부의 보안 솔루션을 다 무시하고 접근못하던 페이지도 다 접근이 되고, USB 연결이 되는 행동도 할 수 있게된다.

이러한 VHD 라는 기술만 안다면, 언제 쓸지 모르지만, 이런 확장자가 무엇인지 알고,

어떻게 악용할 수 있을 것이고, 좋게 쓸 수 있을 것이고, 이런식으로 VHD 를 추가해서 사용할 수 있다.

흔히 VMware 경우 VHD 로 변환하는 Convert Tool 이 있는데 그럼으로서 VHD 로 부팅할 수 있다.

보안의 구멍은 엄청나게 많다. 얼마만큼 기술을 아느냐의 차이가 분석에 쓰일 수 있으므로, 보안적 뉴스를 많이 보면 많은 트렌드를 알게 된다.

그래서 기업에서 VHD 를 악용한 사람은 VHD 파일 자체도 필요할 때마다 부팅해서 확장자를 바꾸고, 작업한 다음 다시 확장자를 전 상태로 돌리고, 이런식으로 악의적으로 사용을 했던 것이다.

FTK Imager 의 경우 Image File 에 대해서 상당히 많은 포맷을 지원하고 또 Mount 를 할 수 있다.

Mount 를 하면 Local Device 목록에 나타나고, 그럼 그 장치를 Add Local Deivce 로 연결하여 분석하면 된다. 물론 Imaging 작업도 가능하다.

FTK Imager 의 Format 을 확인해보면 EnCase 에서 지원안하는 Format 들을 확인할 수 있다.

 

FTK Imager 경우 상당히 많은 Format 을 지원한다. 그리고 Freeware Tool 이며 잘만 활용하면 아주 좋은 Tool 이다. 이렇게 많은 Format 을 지원하니 EnCase 가 지원안한다고 분석을 포기하지말고, FTK Imager 로 Evidence File 을 추가하여 Mount 해서 분석을 하면 된다.