생성한 Case에 사본 증거 파일 추가하기 사본 파일 추가하기 : Add Evidence - Local Device/ Evidence File/ Raw Image - 생성했던 파일 선택 파일 포맷타입에 따라 Evidence File, Raw Image로 디스크를 가져올 수 있음 EnCase에 RAW Image 추가하기 (Add Evidence - Add - Raw Image) 생성한 사본 파일의 파일 타입 바꾸기 RAW 파일 E01로 Convert하기 FTK Imager - File - Create Disk Image… 바꿀 원본 파일을 선택한다. 바꿀 파일명을 입력하고 위치를 선택한다.
AccessData_FTK_Imager_4.5.0_(x64).exe 다운로드 File - Add Evidence Item… 이동 Physical Drive 선택 후 넘어가서 생성한 디스크 선택 후 완료 Disk 이미지 생성하기 앞의 과정 넘기다가 아래 화면에서 Add… 누르고 이미지 타입 E01로 선택 후 다음(EnCase에서는 Raw 파일도 증거 추가가 가능하므로 필요에 따라 이미지 타입을 선택하면 된다.)
Add Evidence - Local Device 로 증거 추가를 진행한다. Enable Physical Memory, Enable Process Memory 선택 후 다음으로 넘어간다. 분석할 디스크를 선택한다. 디스크 사본 생성하기 해당 디스크 Entries 하이라이팅 - Acquire - Acquir… 이동 저장한 디렉터리로 가보면 사본 파일이 생성되어 있다. 뒤로가기로 디스크를 확인해보면 사본 파일이 들어가 있다.
가상 디스크 생성하기 제어판 - 디스크 관리 - 동작 - VHD 만들기 디스크 초기화 : MBR 선택 단순 볼륨 만들기 : 2048 디스크 생성이 끝나면 아래처럼 생성한 디스크를 확인할 수 있다. 증거 만들기 디스크를 생성했다면 해당 디스크에 파일을 생성했다 지웠다… 증거를 만들어준다. 가상증거 케이스 생성 EnCase로 가서 New Case로 케이스를 생성한다. > 쓰기방지 디스크 추가 더보기 Tool - FastBloc SE… (디스크 증거 쓰기방지로 추가)
가상의 디지털 증거 생성(디지털 증거) VHD 가상 디지털 증거 생성 완료(VHDevidence.vhd) VHD 가상증거 - 로컬드라이브 연결 - Encase를 이용한 미리보기 VHD 가상증거 - 로컬드라이브 연결 - 사본생성 사본이미지 - (E01) Encase를 이용한 분석 *** 중요 *** 증거 원본 분리 제어판 - 관리도구 - VHD 분리 가상증거 - 로컬 드라이브 연결 - FTK Imager를 이용한 미리보기 VHD 가상증거 - 로컬 드라이브 연결 - 사본 생성 사본이미지 - (E01) Encase를 이용한 분석
파일 정렬 컬럼명 우클릭 - Sort(여러 기준 정렬 시 각종 우선순위 설정 가능) 태그 설치 시 기본적으로 4가지 태그가 보인다.(Review, Report, Follow Up, Ignore) 해당 태그 위치쪽에 클릭을 하면 아래 사진처럼 해당 태그가 추가된다. 시그니처 확인 View - File Types : 파일 시그니처 분석을 수행한 후 결과를 표시함 파일 무결성 검사 해당 기능은 해시값 계산 혹은 파일 시그니처 검증이 가능하다. 원하는 항목 체크 후 OK를 누른 뒤 새로고침하면 해당 파일들의 해시값이 입력되어 있다. 문자열 읽는 방식 설정 Tool - Options - Global Code Page : 문자열 읽는 방식 Invalid picture timeout (seconds) : 이미지 파일..
디지털 포렌식 사본 작성과 증거 파일 작성 사본 작성 원본 HDD의 데이터를 똑같이 만드는 것 원본보다 큰 용량의 HDD가 필요함 Bad Sector 발생 시 시간이 오래 걸림 사본용 HDD 소모량이 많음 속도는 증거 파일보다 빠름 증거 파일 작성(Image File) 원본 HDD의 데이터를 일정 크기의 파일로 분할하여 저장 압축이 가능하여 원본보다 작은 용량의 HDD를 사용해 증거 파일 작성 가능 Bad Sector에 대비한 솔루션을 가지고 있음 디스크 복사와 디스크 이미징의 차이 구분 디스크 복사 디스크 이미징 저장 방식 Source Read & Destination Write Bit Stream Clone 저장 대상 파일과 디렉터리 단위의 정보 디스크의 모든 물리적 섹터 정보 손실 Source Re..
케이스 생성 - 케이스를 생성할 위치에 개인 디렉터리를 생성한다. - C드라이브를 증거라는 전제하에 실습을 진행한다. - New Case 눌러서 케이스를 생성한다. 새로운 케이스를 생성 시 아래처럼 셋팅 후 OK 버튼을 누른다. - Basic 템플릿을 사용하여 Case Number(사건번호), Examiner Name(이미징 처리 조사자 이름), Description(주석) 공간을 입력하였다. - 다음으로는 케이스 이름을 입력 후 케이스를 저장할 공간을 선택해주었다.(미리 만들어 두었던 디렉터리 지정) 증거 추가 Add Evidence - Add - Local Device - 체크 모두 해제 Local Devices - 1번 체크 및 이름 변경 후 다음으로 넘어간다. 과정이 끝나면 아래 화면을 볼 수 있..
