인덱스 서칭 - 결과보기 : View - Artifacts Raw 서칭 - 증거 파일 선택 화면으로 이동하여, 상단의 Raw Search All - New Raw Search All... 를 클릭한다. - 증거파일을 눌러 들어간 뒤 Raw Search Selected - New Raw Search Selected...로 검색한다. - 검색할 키워드들을 추가하여 서칭한다. - 결과 확인은 View - Keyword Hits 로 이동하여 확인할 수 있다. - 검색 결과는 overwrite되기 때문에 따로 다시 저장한다. - Compressed View를 사용하여 한 눈에 편하게 볼 수 있도록 한 뒤 필요한 부분을 북마크 할 수도 있다.
Peterson’s HDD.E01 실습 1. Tree 창에서 C:\Users\Zerobit Admin\Pictures\ 몇 개의 이미지가 보입니까? 0개 2. C:\Users\Zerobit Admin\Desktop 흥미로운 것이 있습니까? 링크파일(.lnk) - 해당 링크파일을 추출해서 로컬파일로 다운받았다. - 링크파서라는 프로그램을 사용하여 lnk 파일을 자세하게 확인해보았다. - 결과물은 Export CSV를 사용하여 다운받았다. 3. C:\Users\Norman.Perterson\Pictures\Peterson’s Race Pics\ 몇 개의 이미지가 보입니까? 41개 - 그 외에 보이는 AVI 파일도 추가로 확인해보았다. - 다운 후 확인해보았으나 별다른 특이점은 보이지 않아서 일단 북마크만 해..
증거 파일 무결성 검사 HxD를 사용해 증거 파일을 올린 뒤 ctrl+g 를 눌러서 오프셋을 이동 후 변조 후 저장한다. 저장한 USB Flash Drive를 케이스에 증거 추가하면 변조된 파일은 해시값이 다르게 보인다. 수정한 파일의 원본을 지우고 백업본을 복구하여 수정 전 원본 파일을 확인하면 해시값이 같은 것을 보아 해당 디스크 파일의 무결성을 확인하였다. 시간 설정 맞춰주기(TimeZone) 증거 이미지와 타임존이 동일한 경우는 설정하지 않아도 되지만, 동일하지 않은 경우는 아래 방법을 통해 타임존을 맞추어줘야 한다. 운영체제는 Program Files의 폴더가 하나이고, x86 디렉터리가 보이지 않기 때문에 Window32로 보인다. 해당 운영체제의 타임존을 확인하기 위해서는 레지스트리 편집기 ..
암호화 키 생성하기 C:\Users\pc\Documents\EnCase\Keys 로 이동하면 키 파일이 두 개가 생성되어 있다. 소켓 통신 Agent 만들기 위 과정을 거치면 아래처럼 파일이 생성된다. 가상머신 생성하기 소켓 통신 Agent 실행하기 - CMD를 사용해 생성한 Agent 디렉터리로 이동하여 아래 명령어를 입력한다. - enstart.exe -run EnCase 연결하기 IP는 가상머신 서버의 IP 입력
생성한 Case에 사본 증거 파일 추가하기 사본 파일 추가하기 : Add Evidence - Local Device/ Evidence File/ Raw Image - 생성했던 파일 선택 파일 포맷타입에 따라 Evidence File, Raw Image로 디스크를 가져올 수 있음 EnCase에 RAW Image 추가하기 (Add Evidence - Add - Raw Image) 생성한 사본 파일의 파일 타입 바꾸기 RAW 파일 E01로 Convert하기 FTK Imager - File - Create Disk Image… 바꿀 원본 파일을 선택한다. 바꿀 파일명을 입력하고 위치를 선택한다.
AccessData_FTK_Imager_4.5.0_(x64).exe 다운로드 File - Add Evidence Item… 이동 Physical Drive 선택 후 넘어가서 생성한 디스크 선택 후 완료 Disk 이미지 생성하기 앞의 과정 넘기다가 아래 화면에서 Add… 누르고 이미지 타입 E01로 선택 후 다음(EnCase에서는 Raw 파일도 증거 추가가 가능하므로 필요에 따라 이미지 타입을 선택하면 된다.)
Add Evidence - Local Device 로 증거 추가를 진행한다. Enable Physical Memory, Enable Process Memory 선택 후 다음으로 넘어간다. 분석할 디스크를 선택한다. 디스크 사본 생성하기 해당 디스크 Entries 하이라이팅 - Acquire - Acquir… 이동 저장한 디렉터리로 가보면 사본 파일이 생성되어 있다. 뒤로가기로 디스크를 확인해보면 사본 파일이 들어가 있다.
가상 디스크 생성하기 제어판 - 디스크 관리 - 동작 - VHD 만들기 디스크 초기화 : MBR 선택 단순 볼륨 만들기 : 2048 디스크 생성이 끝나면 아래처럼 생성한 디스크를 확인할 수 있다. 증거 만들기 디스크를 생성했다면 해당 디스크에 파일을 생성했다 지웠다… 증거를 만들어준다. 가상증거 케이스 생성 EnCase로 가서 New Case로 케이스를 생성한다. > 쓰기방지 디스크 추가 더보기 Tool - FastBloc SE… (디스크 증거 쓰기방지로 추가)
