암호화 키 생성하기 C:\Users\pc\Documents\EnCase\Keys 로 이동하면 키 파일이 두 개가 생성되어 있다. 소켓 통신 Agent 만들기 위 과정을 거치면 아래처럼 파일이 생성된다. 가상머신 생성하기 소켓 통신 Agent 실행하기 - CMD를 사용해 생성한 Agent 디렉터리로 이동하여 아래 명령어를 입력한다. - enstart.exe -run EnCase 연결하기 IP는 가상머신 서버의 IP 입력
생성한 Case에 사본 증거 파일 추가하기 사본 파일 추가하기 : Add Evidence - Local Device/ Evidence File/ Raw Image - 생성했던 파일 선택 파일 포맷타입에 따라 Evidence File, Raw Image로 디스크를 가져올 수 있음 EnCase에 RAW Image 추가하기 (Add Evidence - Add - Raw Image) 생성한 사본 파일의 파일 타입 바꾸기 RAW 파일 E01로 Convert하기 FTK Imager - File - Create Disk Image… 바꿀 원본 파일을 선택한다. 바꿀 파일명을 입력하고 위치를 선택한다.
AccessData_FTK_Imager_4.5.0_(x64).exe 다운로드 File - Add Evidence Item… 이동 Physical Drive 선택 후 넘어가서 생성한 디스크 선택 후 완료 Disk 이미지 생성하기 앞의 과정 넘기다가 아래 화면에서 Add… 누르고 이미지 타입 E01로 선택 후 다음(EnCase에서는 Raw 파일도 증거 추가가 가능하므로 필요에 따라 이미지 타입을 선택하면 된다.)
Add Evidence - Local Device 로 증거 추가를 진행한다. Enable Physical Memory, Enable Process Memory 선택 후 다음으로 넘어간다. 분석할 디스크를 선택한다. 디스크 사본 생성하기 해당 디스크 Entries 하이라이팅 - Acquire - Acquir… 이동 저장한 디렉터리로 가보면 사본 파일이 생성되어 있다. 뒤로가기로 디스크를 확인해보면 사본 파일이 들어가 있다.
가상 디스크 생성하기 제어판 - 디스크 관리 - 동작 - VHD 만들기 디스크 초기화 : MBR 선택 단순 볼륨 만들기 : 2048 디스크 생성이 끝나면 아래처럼 생성한 디스크를 확인할 수 있다. 증거 만들기 디스크를 생성했다면 해당 디스크에 파일을 생성했다 지웠다… 증거를 만들어준다. 가상증거 케이스 생성 EnCase로 가서 New Case로 케이스를 생성한다. > 쓰기방지 디스크 추가 더보기 Tool - FastBloc SE… (디스크 증거 쓰기방지로 추가)
가상의 디지털 증거 생성(디지털 증거) VHD 가상 디지털 증거 생성 완료(VHDevidence.vhd) VHD 가상증거 - 로컬드라이브 연결 - Encase를 이용한 미리보기 VHD 가상증거 - 로컬드라이브 연결 - 사본생성 사본이미지 - (E01) Encase를 이용한 분석 *** 중요 *** 증거 원본 분리 제어판 - 관리도구 - VHD 분리 가상증거 - 로컬 드라이브 연결 - FTK Imager를 이용한 미리보기 VHD 가상증거 - 로컬 드라이브 연결 - 사본 생성 사본이미지 - (E01) Encase를 이용한 분석
파일 정렬 컬럼명 우클릭 - Sort(여러 기준 정렬 시 각종 우선순위 설정 가능) 태그 설치 시 기본적으로 4가지 태그가 보인다.(Review, Report, Follow Up, Ignore) 해당 태그 위치쪽에 클릭을 하면 아래 사진처럼 해당 태그가 추가된다. 시그니처 확인 View - File Types : 파일 시그니처 분석을 수행한 후 결과를 표시함 파일 무결성 검사 해당 기능은 해시값 계산 혹은 파일 시그니처 검증이 가능하다. 원하는 항목 체크 후 OK를 누른 뒤 새로고침하면 해당 파일들의 해시값이 입력되어 있다. 문자열 읽는 방식 설정 Tool - Options - Global Code Page : 문자열 읽는 방식 Invalid picture timeout (seconds) : 이미지 파일..
디지털 포렌식 사본 작성과 증거 파일 작성 사본 작성 원본 HDD의 데이터를 똑같이 만드는 것 원본보다 큰 용량의 HDD가 필요함 Bad Sector 발생 시 시간이 오래 걸림 사본용 HDD 소모량이 많음 속도는 증거 파일보다 빠름 증거 파일 작성(Image File) 원본 HDD의 데이터를 일정 크기의 파일로 분할하여 저장 압축이 가능하여 원본보다 작은 용량의 HDD를 사용해 증거 파일 작성 가능 Bad Sector에 대비한 솔루션을 가지고 있음 디스크 복사와 디스크 이미징의 차이 구분 디스크 복사 디스크 이미징 저장 방식 Source Read & Destination Write Bit Stream Clone 저장 대상 파일과 디렉터리 단위의 정보 디스크의 모든 물리적 섹터 정보 손실 Source Re..
