에러내용 Querying NetCfgInstanceld failed (0x00000002). (호스트 네트워크 인터페이스를 만들 수 없습니다.) 상황 - VirtualBox에서 원하는 네트워크 환경의 장치들을 세팅하기 위해 호스트 네트워크 관리자로 이동하여 어댑터를 생성하려고 했으나 생성 로딩이 계속 돌다가 결국 아래와 같은 오류가 떴다. 해결 방법 - 윈도우 CMD를 사용하여 명령어를 통해 Adapter를 생성해주었다. - VirtualBox가 설치되어 있는 곳으로 이동 후 아래 명령어를 사용했다. > VBoxManage hostonlyif create - 위 방법을 통해 #3이 추가되었다. 주의할 점 - 위 방법으로 Ethernet Adapter를 생성 후 해당 Adapter를 사용하는 가상머신을 만..
상황 - CentOS7을 설치하기 위해 이미지 파일을 넣고 Install CentOS 7을 이용해 설치를 진행하려 했으나 아래와 같은 에러를 보게되었다. - 해당 가상머신 장치를 삭제 후 재생성도 해보았지만 그대로였다. 해결을 위해 시도한 방법 - 다른 버전의 CentOS 7 이미지 넣기 - 기존에 만들어져있던 CentOS 7 가상머신 복제하기 - 부팅 시 Troubleshooting -> Rescue a CentOS system 모드로 들어가서 복구하기 더보기 이미지 파일 넣어서 재실행 후 TroubleShooting으로 이동하여 Rescure 모드로 들어감 그러나 문제의 오류 화면으로밖에 전환이 되지 않음(Rescue 모드로 전환이 되지 않음) 추가 참고 링크 https://forums.centos...
증거 파일 무결성 검사 HxD를 사용해 증거 파일을 올린 뒤 ctrl+g 를 눌러서 오프셋을 이동 후 변조 후 저장한다. 저장한 USB Flash Drive를 케이스에 증거 추가하면 변조된 파일은 해시값이 다르게 보인다. 수정한 파일의 원본을 지우고 백업본을 복구하여 수정 전 원본 파일을 확인하면 해시값이 같은 것을 보아 해당 디스크 파일의 무결성을 확인하였다. 시간 설정 맞춰주기(TimeZone) 증거 이미지와 타임존이 동일한 경우는 설정하지 않아도 되지만, 동일하지 않은 경우는 아래 방법을 통해 타임존을 맞추어줘야 한다. 운영체제는 Program Files의 폴더가 하나이고, x86 디렉터리가 보이지 않기 때문에 Window32로 보인다. 해당 운영체제의 타임존을 확인하기 위해서는 레지스트리 편집기 ..
암호화 키 생성하기 C:\Users\pc\Documents\EnCase\Keys 로 이동하면 키 파일이 두 개가 생성되어 있다. 소켓 통신 Agent 만들기 위 과정을 거치면 아래처럼 파일이 생성된다. 가상머신 생성하기 소켓 통신 Agent 실행하기 - CMD를 사용해 생성한 Agent 디렉터리로 이동하여 아래 명령어를 입력한다. - enstart.exe -run EnCase 연결하기 IP는 가상머신 서버의 IP 입력
생성한 Case에 사본 증거 파일 추가하기 사본 파일 추가하기 : Add Evidence - Local Device/ Evidence File/ Raw Image - 생성했던 파일 선택 파일 포맷타입에 따라 Evidence File, Raw Image로 디스크를 가져올 수 있음 EnCase에 RAW Image 추가하기 (Add Evidence - Add - Raw Image) 생성한 사본 파일의 파일 타입 바꾸기 RAW 파일 E01로 Convert하기 FTK Imager - File - Create Disk Image… 바꿀 원본 파일을 선택한다. 바꿀 파일명을 입력하고 위치를 선택한다.
AccessData_FTK_Imager_4.5.0_(x64).exe 다운로드 File - Add Evidence Item… 이동 Physical Drive 선택 후 넘어가서 생성한 디스크 선택 후 완료 Disk 이미지 생성하기 앞의 과정 넘기다가 아래 화면에서 Add… 누르고 이미지 타입 E01로 선택 후 다음(EnCase에서는 Raw 파일도 증거 추가가 가능하므로 필요에 따라 이미지 타입을 선택하면 된다.)
Add Evidence - Local Device 로 증거 추가를 진행한다. Enable Physical Memory, Enable Process Memory 선택 후 다음으로 넘어간다. 분석할 디스크를 선택한다. 디스크 사본 생성하기 해당 디스크 Entries 하이라이팅 - Acquire - Acquir… 이동 저장한 디렉터리로 가보면 사본 파일이 생성되어 있다. 뒤로가기로 디스크를 확인해보면 사본 파일이 들어가 있다.
가상 디스크 생성하기 제어판 - 디스크 관리 - 동작 - VHD 만들기 디스크 초기화 : MBR 선택 단순 볼륨 만들기 : 2048 디스크 생성이 끝나면 아래처럼 생성한 디스크를 확인할 수 있다. 증거 만들기 디스크를 생성했다면 해당 디스크에 파일을 생성했다 지웠다… 증거를 만들어준다. 가상증거 케이스 생성 EnCase로 가서 New Case로 케이스를 생성한다. > 쓰기방지 디스크 추가 더보기 Tool - FastBloc SE… (디스크 증거 쓰기방지로 추가)
