EnCase v7 Processor

분석을 위한 Option 으로 Processor 기능이 있다. 우선 분석할 Evidence 를 선택하고 작업을 진행한다.

 

 

분석 대상 Evidence 를 선택하고 상단 메뉴에서 Process Evidence 아이콘을 클릭하면 위와 같이 3개의 기능이 나타난다. Process , Acquire , Acquire and Process

여기서 Process 기능을 클릭한다.

 

 

EnCase Processor Options 창이 나타난다. 여기서 다양한 Option 을 선택하여 분석을 할 수 있다.

 

Recover Folders Option

폴더 구조에 대해서 복구를 해주는 Option 이라 반드시 선택을 한다.

 

 

붉은 느낌표가 붙어있는 Option 은 필수로 선택해야 된다는 뜻이다.

File signature analysis , Protected file analysis , Hash analysis 이 3가지 Option 모두 필수적으로 분석이 되어야 하는 부분이며 Hash analysis 같은 경우

 

analysis option 을 선택하여 진행할 수 있다. 물론 선택된 option 만 analysis 을 진행하게 된다.

마지막 option 인 Entropy 는 파일에 대한 복잡도를 Test 해주는 option 이다.

복잡도란게 파일이 난독화나 암호화 , 압축파일일 경우 의심을 해 볼 필요성이 있다.

Entropy 연산 자체가 Byte 단위로 나눠져 있는 문자 데이터를 Byte 단위로 읽는 걸 0 으로 연산처리한다.

연산처리한 결과를 바탕으로 더해서 자리마다 평균을 내는데 수치가 0 ~ 8 이다.

분석하면 Jpg 파일은 수치가 5 ~ 6 , zip , 난독화나 암호화 파일(문서)는 빈공간이 줄어들었을 테니 비어있는 공간이 있으면 0 부분이 많이 없을 수 있다.

그럼 수치가 높아진다. 그렇게 되면 7 에 가깝게 되거나 넘어갈 수 있으므로 의심해 볼 필요가 있다. Bmp 파일은 거의 1 에 가깝다.

Entropy 연산으로 암호화나 압축된 파일은 수치가 상당히 높다. 그래서 추측할 수 있는게 확장자만 보면 되는거 아니냐고 반문할 수 있다.

Signature analysis 이라든지 자기는 알고 있는 확장자나, EnCase 모르는 확장자,

알집 egg 는 지원을 안한다. 한국 솔루션이라. egg 확장자를 등록하지 않으면 모른다.

아무튼 압축되어 있는걸 Entropy 수치를 보고서 analysis 할 수 있다.

접근 방식은 Entropy 를 통해 접근해도 되고 signature 를 등록해서 그 signature 를 찾음으로서 Bad signature 를 찾는 방식으로 찾을 수 있다.

포렌식 솔루션 뿐만 아니라 일부 악성코드를 걸러내는 부분이라든지, 그런 솔루션에서 파일을 등록하고 나서 Entropy 연산을 수행하는 도구, 장비들이 있다.

 

Thumbnail creation Option

Thumbnail File 의 중요성은 실제로 분석을 해보지 않으면 모른다. 데이터 사진 파일들을 저장해놓고 나서 지웠다면 못 지마 Thumbnail File 은 남아 있을 수 있다.

Thumbnail File 을 열어보면 원래 가지고 있던 사진 파일들에서 Thumbnail 을 확인할 수 있다.

아주 작은 미리보기로 저장되어 있고 거기서 사진 파일이 발견될 수 있다.

Smart phone 의 경우에도 아주 유용하게 사용할 수 있고 삼성 Smart phone 의 경우 Thumbnail File DB 가 2개다.

 

Expand compound files

compound file 을 잘 모르면 EnCase 활용을 잘 하지 못한다.

compound file 은 그 자체가 복합 파일이다. 복합 파일은 파일이 한 개처럼 보이지만 그 안에 방대한 자료가 들어 있다.

Zip, Docx 등등등

단위 파일로 보이지만 열어보면 또 다른 파일이 보일 수 있고 다른 정보들을 가질 수 있다.

.pst 파일은 이메일에 대한 데이터가 압축이 되어 있는 파일이다. DLL 파일도 들어가 있을 수 있고, 메일 데이터안에 첨부파일이 변환되어 들어갈 수도 있다.

zip 파일은 압축파일, docx 는 office 문서다. 약간 생소할 것인데 office 문서도 옛날 버전, office 2003 이나 한글 97을 생각해보자. 이 문서를 작성하면서 사진을 첨부하였다.

그러면 이 버전에서는 경로내 사진포함을 선택하는 옵션이 있었다. 분명히 사진을 작업하는 문서에다가 붙여넣었는데, 사진이 그냥 들어 있기만 한것이다. 사진을 문서 작업에 사용하지 못했다는 뜻이다.

그 당시에는 compound file 이 아니었고 그냥 따라디니기만 했다. 그리고 그림파일의 경로가 변경되면 한글 97의 경우 그림이 다 깨졋다. 포함이 안되었으니깐.

근데 이후에 나온 문서 Format 은 다 포함을 한다. 파일 자체에 대해서 엄청난 중요성을 띄게 된다.

그러므로 compound file 을 생각하게 된다. compound file 은 복합파일이란 뜻이다.

compound file analysis option 은 웬만한 포렌식 솔루션에 포함되어 있다.

 

Find email

이메일 analysis option 인데 이메일 파일은 분석에 있어서 놓쳐서는 안되는 부분이다. 이 부분은 분석관 입장에서 아무리 의심되는 인물에 대한 업무를 잘 알더라도 그 팀원들이나 팀장에게 분석을 요청하여 도움을 받는게 정답이다.

왜냐하면 나는 IT 보안팀의 감사팀이다. 그런데 실제 다른 파트에서 기술이 유출되었다. 나는 IT 인데 다른팀의 업무를 잘 모르므로 어떤 나라와 커뮤니케이션을 하였는지 모르며 업무에 대한 지식도 없다.

관련 업체와 주고받는 언어도 모르므로 분석관은 데이터를 뽑아서 팀장이나 팀원에게 필터를 해서 주길 요청해야 하고 같이 분석해야 한다. 혼자만 매달려선 이메일 분석을 할 수 없다. 그게 안되어 분석 키워드를 알아내어도 엄청난 데이터 때문에 힘들다.

 

Find Internet artifacts

Internet artifacts analysis 도 놓쳐서는 안되는 option 이다.

 

 

Search for keywords

keyword 검색 옵션은 내가 키워드를 넣어서 미리 검색어를 프로세싱 할거냐, 나중에 할거냐 그 차이이다.

 

Index text and metadata

Index text and metadata option 도 상당히 중요한 부분이고 시간도 많이 걸린다.

 

Modules

Disk 내 포함된 운영체제에 대해서 log 에 대한 parser 를 통해 log 나 레지스트리를 긁어 온다던지 시스템 정보를 긁어오는 그런 module 들이 탑재되어 있다.

이것만 잘 활용해도 분석이 빠를 수 있다.

레지스트리 분석을 하면 경로나 이벤트로그 경로는 언제 다 외우며, Windows 가 새로 나올수록 새로운 artifact 가 추가되는데 언제 그걸 다 외우는가?

이러한 modules 를 잘 이용하면 경로를 외울 필요가 없다.

 

 

System Info Parser 을 클릭하면 어떤 데이터를 분석해주는지 볼 수 있다.

 

제일 아래 Live Registry Only option 은 잘 판단해야 한다.

기업에서 PC 를 분명히 전임자가 썻던걸 다시 받아 쓸텐데, 만약에 신입이 들어온지 한달만에 기술만 쏙 빼서 퇴사를 했다.

그럼 분석을해야 하는데 Live Registry Only 선택을 하지 않으면 이전에 남아있던 레지스트리 파일이 파밍기능을 통해 복구가 된다. 참 좋은 기능이나 전임자의 레지스트리 파일까지 복구가 되므로 억울한 상황이 생길 수 있다. 구지 전임자까지 분석할 필요가 없다.

Live Registry Only 선택해서 전임자의 레지스트리 파일은 분석이 안되게, 현재 분석할 사람만 분석을 진행하면 되는 것이다.

실제로 대부분 Live Registry Only 선택을 해서 전임자의 레지스트리 파일을 복구하여 분석하는 경우는 거의 없다. 이런 기능을 알고 있으면 된다.

 

File Carver

삭제된 파일에 대해서 파밍기능을 이용한다. 데이터 파밍을 할 수 있고, 메타데이터가 남아 있으면 메타카빙도 할 수 있다.

 

 

Windows Event Log Parser

아주 유용하게 사용할 수 있다.

 

 

Windows Artifact Parser

Windows Artifact Parser option 을 클릭하면 Windows Artifact Parser option 창이 나타난다.

Link Files 의 중요셩을 알아야 한다. Link File 은 아주 중요하고 아주 좋은 정보를 갖고 있는 File 이다.

Link File 을 아느냐 모르느냐는 천지 차이다. Link File 만 잘 찾아내도 의심되는 사람이 허용되지 않은 Server 에 접근해서 File 을 열었던가, 연결하지 말아야 될 USB 장치를 연결해서 파일을 열었던게 List 로 다 남는다. 물론 File 내용은 저장되지 않으나, 언제, 어느경로, 어느파일을 열어 봤는지 다 남는다.