[EnCase] 증거 파일 무결성 검사, 시간 설정 맞춰주기(TimeZone)

증거 파일 무결성 검사

• HxD를 사용해 증거 파일을 올린 뒤 ctrl+g 를 눌러서 오프셋을 이동 후 변조 후 저장한다.

 

• 저장한 USB Flash Drive를 케이스에 증거 추가하면 변조된 파일은 해시값이 다르게 보인다.

 

• 수정한 파일의 원본을 지우고 백업본을 복구하여 수정 전 원본 파일을 확인하면 해시값이 같은 것을 보아 해당 디스크 파일의 무결성을 확인하였다.

 

 

 

 

시간 설정 맞춰주기(TimeZone)

• 증거 이미지와 타임존이 동일한 경우는 설정하지 않아도 되지만, 동일하지 않은 경우는 아래 방법을 통해 타임존을 맞추어줘야 한다.

 

• 운영체제는 Program Files의 폴더가 하나이고, x86 디렉터리가 보이지 않기 때문에 Window32로 보인다.

 

• 해당 운영체제의 타임존을 확인하기 위해서는 레지스트리 편집기 실행 후 아래 파일을 확인해보면 된다.
  • 레지스트리 : 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
  • 디렉터리 : C:\Windows\System32\config\SYSTEM

 

• EnCase를 통해 C:\Windows\System32\config\SYSTEM 파일까지 이동한다.
  • EnCase에서는 압축 가능한 파일을 압축 해제해서 디렉터리처럼 들어갈 수 있게 해주는 기능이 있다.
  • 우클릭 - Entries - View File Struct

 

• 위 과정을 거치면 하나의 파일이었던 SYSTEM 파일이 압축 해제한 폴더처럼 이동이 가능해진다.

 

• 디렉터리 이동 후 TimeZoneKeyName 항목을 우클릭 - Bookmark - Seleted items… 로 북마크한다.

 

• 북마크 확인은 View-Bookmarks 에서 확인 가능하다.

 

• 북마크를 확인하는 방법은 EnScript를 사용하는 방법도 있다.
  • EnScript - Run - 스크립트 파일 위치 선택을 통해 Timezon 정보를 자동으로 저장해주는 Timezone info Prior to Processing (V1.1) 을 추가할 수 있다.

 

• 실행하면 북마크에 알아서 저장된 값을 볼 수 있음

 

• TimeZone 세팅은 해당 디스크 우클릭 - Device - Modify time zone settings… 로 변경 가능하다.

 

• 해당 증거 파일이 저장되었던 타임존은 동부 표준시이므로, 찾아서 변경한다.