이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

















작성자 : 투라 (extraman@boanin.com)
편집자 : 엔시스


포렌식툴중 널리 알려진 encase에 대해서 포스팅 합니다.


교육중 실습이 시간이 아주 충분하진 않았다고 생각됩니다.간략하게 활용정도..^^
아시다시피 encase는 동글키(USB 보안장치)가 있어야 하지만 교육사정은 그렇지 못합니다.
동글키가 없다면, 증거이미지만 생성할 수 있고, 실제로 수사를 할 수는 없다.
그렇지만 교육은 어떻게 받았습니다..^^;

명심하라!!!!!!!!!
불법소프트웨어로 추출한 증거자료는 법적에서 증거자료로 인정 받지 못한다.


Encase 란..

1998년 Guidance Software Inc. 가 사법기관 요구사항에 바탕을 두고 개발한 컴퓨터 증거 분석용 소프트웨어이다.컴퓨터 관련 수사에서 디지털 증거의 획득과 분석 기능을 제공하며

미국에서 90년대 후반부터 600여개 사법기관에서 컴퓨터 관련 범죄 수사에서 encase가 활용되고 있으며 미국 법원이 증거 능력을 인정하는 독립적인 솔루션이다 (2001년 Enron사 회계부정 사건) Windows 환경에서도 증거원본 미디어에 어떠한 영향도 미치지 않으면서 미리보기, 증거사본작성, 분석, 결과보고에 이르는 전자증거 조사의 모든 과정을 수행 할 수 있다.

 

Encase 제품군은 다음과 같다.

- Encase Forensic : 로컬 컴퓨터 하드디스크의 기본 분석 도구

- Field Intelliegence Model(FIM)

: 네트워크 컴퓨터 및 서버의 휘발성 자료를 포함한 증거 파일 획득 및 조사가 가능,

..수사 기관용으로 Enterprise 축소판

- Encase Enterprise

: 기업의 Live 시스템 및 파일에의 접근과 분석이 가능하여 사고대응 시간을 줄일 수

있음, 관제로 활용

 

Encase 지원 파일 시스템은 다음과 같다.

- FAT12, FAT16, FAT32

- NTFS

- EXT2,EXT3

- CDFS

- HFS, HFS+(MAC파일시스템)

- PALM(Palm-PAD파일시스템)

-UFS(unix 파일시스템)

cf> XFS파일시스템은 지원하지 않음, 임베디드 리눅스일부에서 사용하는 파일시스템

 

이제 encase를 실행시켜보자..(교육중 받은 demo 위주로 화면 캡쳐합니다.)


사용자 삽입 이미지

 

 

Run EnCASE DEMO 를 클릭 하면 다음과 같다.

사용자 삽입 이미지

ncase를 실행했으니 기본적인 옵션 세팅을 시작합니다.

Tool -> Options

 

사용자 삽입 이미지

Data : yy/MM/dd

Time : 24:00:00

Show True : Yes 로 변경


사용자 삽입 이미지




Encase 기본 메뉴화면은 다음과 같다.

데모라 New 클릭이 안됨..ㅋㅋ

 

사용자 삽입 이미지


New :  새로운 분석창을 띄우는 메뉴

Open : 기존에 저장한 분석 파일을 여는 메뉴 확장자는 .cas .case로 됨

Save all  : 지금까지의 작업 상태를 보존하며 cas, case로 저장됨

 

File -> New 클릭하면 다음 메뉴가 나온다.



사용자 삽입 이미지

분석관련 파일을 별도의 드라이브(OS와 분리된)를 사용하고 분석후에 wiping 하는것이 바람직하다.


보다시피 메뉴가 변경있다..(이미지 내용은 데모에서 제공된 이미지 파일 내용임)

사용자 삽입 이미지
 

Table Pane의 기본 메뉴에 대해서 알아본다.

사용자 삽입 이미지


Table 메뉴

- 파일에 대한 속성등 파일에 대한 전반적인 사항이 나열됨(총 38개?)


사용자 삽입 이미지

Name : 파일 이름

Description : 파일의 속성, 파일인지 폴더인지 삭제 여부와 Overwrite 여부등을 나타냄

-         Deleted File(folder) : 파일이 삭제되었고 겹쳐쓰기 되지 않음 ,완전 복구 가능

-         Deleted, Overwritten file : 삭제되고 다른 파일에 의해 덮어써짐, 완전복구 불가능

-         Deleted, Overwritten folder : 삭제되고 다른 파일에 의해 덮어써진 폴더

 

IS Deleted : 삭제 파일에 체크되는 부분

Last Access : 마지막 파일 접근시간

File Created : 파일 생성 시간

Last Written : 파일 수정 시간

파일과 폴더의 Type

-         invalid Cluster : Directory entry가 파일명을 가지고 있지만 시작 클러스터 값을 가지고있지 않은 경우로 보통 시작 클러스터가 0으로 변경됨, 파일 내용이 어디에 있는지 알지 못함

-         Folder, Invalid Cluster : File Type bit Folder로 지정되고 시작 클러스터가 0으로 지정된 Directory Entry

-         Moved File/Folder : 파일 이동시 directory Entry 삭제되고 새위치에 만들어짐

-         Unallocated Space, MBR, Unused Disk Area, FAT Tables, Volume Slack : 시스템이 관리하는 디스크의 특정영역으로 어떤 파일도 이 영역을 할당받아  사용하고 있지 않음을 뜻함

-         Internal File : NTFS, HFS, EXT2와 가은 OS에 의해 생성되는 파일

-         Recycled Bin : 대상 컴퓨터의 휴지통

-         Lost File : NTFS 파일 시스템에만 나타남, Parent 가 삭죄되어서 자신의 위치를 찾을수 없는 파일

 

 

 

Gallery 메뉴

그림 파일을 한눈에 알아 볼수 있도록 구성

성인 컨텐츠에 대한 증거 수집시 편하게 수사하기 위한 기능

 

 

사용자 삽입 이미지

 

Time Line 메뉴

파일을 시간대별로 확인

생성/수정/접근/삭제시간 별로 표시가 가능

용의자 알리바이, 사건 정황등을 파악하는데 목적이 있음

사용자 삽입 이미지
            

 

View pane의 매뉴를 살펴 본다.

사용자 삽입 이미지

Text : 해당 파일의 내용을 text 형식으로 보여줌

Hex : 해당 파일의 내용을 16진수 형식으로 보여줌

Picutre : 이미지인 경우만 보여줌

Doc  : 외부 프로그램과 연결된 경우 바로 파일의 내용을 보여줌

Transctript : 일부 깨지는 내용은 호환되는 부분만 변경해서 보여줌

Report :해당 파일에 대한 보고서, 파일의 속성, 권한등을 보여줌


이것으로 encase 관련 간략한 소개 및 화면 구성에 대해 마무리 합니다.

다음 포스팅에서는 증거 이미지 생성해서 분석하는 방법에 대해서 포스팅 해봅니다.

 

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Favicon of http://kopil.tistory.com BlogIcon 박코필 2009.05.16 23:51 신고  댓글주소  수정/삭제  댓글쓰기

    투라님 덕분에 포렌식에 많은 관심 가진 1人입니다. ^^

    주말인데도 포스팅 하셨네요... 수고하셨습니다.


    이제 포렌식에 대해 관심 갖는거라 궁금한게 있습니다.

    encase가 어떤 프로세스를 거쳐서 결과값들을 출력해주는지 궁금하네요..

    시스템적 부분이 좀 딸려서요 ^^ ㅋㅋ

    좋은 포스팅 감사합니다. ^^ 주말 잘 보내세요 ^^

    • Favicon of http://extraman.tistory.com BlogIcon ^________________^ 2009.05.18 12:40 신고  댓글주소  수정/삭제

      아..넵 감사..주중에 시간이 없어놔설..
      encase 절차 관련은 다음 포스팅을 참고하시면 될듯합니다. 저도 완전 전문가가 아닌 교육받은 부분에서 포스팅하는거라 좀 한계가 있으니 이점은 양해 부탁드립니다.

  2. Favicon of http://boanin.tistory.com BlogIcon 보안인닷컴 2009.05.17 12:57 신고  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다.. 다음 포스팅 기대하겠습니다...

  3. 블래스트 2009.05.17 18:14 신고  댓글주소  수정/삭제  댓글쓰기

    Encase 자료 감사합니다. Hacking Tool Guide 포렌식 정리중인데 참고 점 하겠습니다.^^

  4. Favicon of http://boanin.tistory.com BlogIcon John_G 2009.05.22 15:56 신고  댓글주소  수정/삭제  댓글쓰기

    전 아직 포렌식에 접근하기가 힘드네요 ^^

    투라님 글 보면서 살짝 분위기 익혀가고 있습니다

    다음 포스팅도 부탁합니다 ^^

  5. BlogIcon Dany 2011.06.03 17:10 신고  댓글주소  수정/삭제  댓글쓰기

    오옹.. 우연히 검색하여 읽고갑니다.

    글 작성일보니 오래된거네요 ㅎ

    그래도 잘 읽고 갑니당~

  6. Favicon of http://www.agenda2012.org/ BlogIcon 2012 agenda herlitz 2012.06.29 17:10 신고  댓글주소  수정/삭제  댓글쓰기

    성된 것 My only concern was to get home after a hard day's work. I want to know where to find 2012 agenda herlitz, do you?