EnCase v7 Image Acquire

 

현재 Evidence Case 에서 Add Evidence 위치를 나타내고 있다. 여기서 Add Evidence File 을 클릭한다.

 

그럼 추가할 수 있는 Ex01 Format Image File 2개가 나타난다.

요즘 나온 Image 는 Ex01 로 배포를 한다. 교육용이라든지, EnCE 시험이라든지 Ex01 로 배포를 한다.

EnCE 의 경우 예전에 Image File 이 공유가 잘되었는데 요즘은 허용되지 않은 시험자 이외에는 풀어보지 못하게 사전에 차단한다.

BParker.Ex01 선택하여 추가한 화면이다.

그럼 해당 Imaging 을 할 때 저장했던 Case Name 이 보여진다. 현재 BParker.Ex01 의 경우 Imaging 할 때 Parker's HDD 라고 Case Name 을 저장하였다.

이제 column 을 확인해보자.

 

 

column 을 살펴보면 MD5 정보도 들어가 있는 걸 확인할 수 있다.

현재 추가한 Image File 의 경우 이미 가지고 있던 증거 사본에 대해서 증거 사본이 추가된 상태이다.

Acquire

EnCase 는 Imiging 이란 단어를 안쓴다. Acquire 란 단어를 쓴다.

Guidance 는 자사만의 용어를 쓰는걸 상당히 좋아한다. 그러나 용어의 뜻 자체는 같은 맥락이다. Acquire 는 획득이란 뜻이다.

현재 상황은 Disk 가 쓰기방지를 통해 연결이 되었고 추가가 된 상황이다. Disk 를 Local Deivce 로 불러온 상태이고 Acquire 을 통해 Image 사본을 만들어야 한다.

사본의 포맷은 E01 로 만든다.

 

Acquire 작업할 Disk 를 체크하고 우쯕 상단쪽에 빨간네모 박스안의 아이콘을 클릭한다. 아이콘의 이름은 Process Evidence 이다.

 

그럼 3개의 기능이 나온다 Process(분석) , Acquire(수집) , Acquire and Process (수집과 분석) 여기서 Acqurie 기능을 실행한다.

 

그럼 Acquire Device 0 창이 나타나며 여기에 획득할 Image 에 대한 정보를 입력한다.

​​

 

Format Tab 은 확장자, 해시값을 결정할 수 있고 E01 Format 은 압축하는 상태로 Image File 을 생성하므로 File Segment Size 옵션에서 크기도 설정할 수 있다.

Encryption 옵션에서 암호도 설정할 수 있고, Compression 옵션에서 압축률 도 설정할 수 있다.

 

Advanced Tab 에서 Sector 크기도 지정할 수 있다. 그러나 웬만하면 크기 지정은 하지 않는다.

Disk 전체를 Imiging 을 하기 때문에 구지 크기 조절을 하지 않으며

만약 나의 Disk 에 대해서 저장된 파일에 대한 Sector 위치를 잘 알고 있다면 원하는 위치의 Sector 만 Imiging 를 할 수 있게 활용을 할 수 있긴 하다. 그러나 이 경우는 특정 Sector 에 존재하는 File 에 대해서 Imiging 을 할 때 활용하는 방법이다.

설정을 다 하였다면 하단에 확인 을 클릭한다.

그럼 오른쪽 하단에 Acquiring '0' 이라는 표시와 함께 상태게이지가 나타난다. 현재 저 게이지가 Acquiring 즉 획득 중이라는걸 나타내주고 있다. 현재 Imiging 작업을 저 위치에서 나타내는 것이다.

기본적으로 Forensic 솔루션들이 E01 같은 Image File 들을 불러 올 때 어떤 작업을 거치냐면 해시 연산을 하여 인증작업을 하게 된다.

E01 는 끝부분에 해시값이 존재하는데 이 해시값이랑 솔루션이 데이터들을 바탕으로 해시 연산작업을 통해 계산한 해시값이랑 비교를 하게 된다.

그리고 비교를 해서 결과를 알려주는 작업이 진행된다.

다시 말해 E01 로 생성된 파일의 끝에 해시값이 존재하고, E01 파일을 추가하면 Forensic 솔루션은 추가하기전에 해시값 연산작업을 하여 E01 파일의 해시 값과 추가하면서 연산된 해시값을 비교하여 결과를 알려주는 작업이 진행되는 것이다.

 

현재 BParker.Ex01 을 추가하여 확인한 데이터이다. BParker.Ex01 경우 미리 작업이 진행되어 있어서 Acquisition MD5 값과 Verification MD5 값이 같은걸 확인할 수 있다.

Acquisition MD5 값은 Ex01 File 이 만들어 지면서 획득한 MD5 값이고, Verification MD5 값은 EnCase 에 Image File 이 추가되면서 Ex01 File 의 데이터들을 한번더 연산 작업을 통해 획득한 MD5 값이다.

그러므로 현재 값이 같다는 것은 처음 획득했던 Ex01 File 과 분석을 위해 Add Evidence 작업된 Ex01 File 이 동일하다는게 인증된 결과이다.

물론 이 값이 틀리다면 안된다. E01, E02 처럼 연결이 된 각 File 의 값은 당연히 다르다. File 이 다르므로.

그러나 Disk 사본에 대해, 원본에 대한 검증을 다시 했을 때, 계산된 해시값이 전분다 같아야 하며 틀리면 안된다. 틀리다면 Image File 의 무결성이 훼손된 것이다.

EnCase 에서 E01 포맷으로 추가한 Device 의 Acquire 과정을 알아보았다.