[EnCase] 가상 파일시스템 (Virtual File System) 분석 기법

안녕하세요. 도깬리 포렌식스입니다.

오늘은 가상 파일시스템 (Virtual File System) 분석기법에 대해 알아 봅시다.

 

VFS의 정의

증거이미지를 로컬 시스템에 마운트 시켜 조사할 수 있는 기술을 의미합니다.

증거이미지에 포함된 모든 개체(비할당 영역, 미사용 영역, 삭제된 폴더 및 파일, 시스템 파일 등)를 마운트 할 수 있습니다.

EnCase가 지원하는 모든 파일시스템 포맷을 윈도우 탐색기에 VFS로 마운트 할 수 있습니다.

 

 

어떤 상황에서 필요한 가?

EnCase 이외의 다른 제3의 조사도구(예: 안티바이러스 스캐너, 복구 전용도구)를 이용하여 분석해야 하는 경우

비전문가가 윈도우 탐색기를 통해 직접 열람하도록 해야 하는 경우

분석대상 프로그램(예: 악성프로그램)을 직접 실행하여 그 동작 형태와 결과를 조사해야 할 필요가 있는 경우

 

VFS로 증거 마운트하는 방법

Disk/Device

PDE(Physical Disk Emulator)에서는 이 수준에서만 마운트 가능합니다.

Volume

Folder

‘폴더’도 마운트 가능하다.

 

하나의 드라이브, 장치, 볼륨 또는 폴더를 마운트하기

한번에 하나의 마운트 포인트만을 지정 가능합니다.

마운트 해야 할 폴더가 여러 개 일 경우, 최상위 폴더 하나만 지정해야 합니다.

 

Network Share로 마운트하기 옵션

VFS가 증거를 네트워크 공유 드라이브로 마운트 해주는 기능입니다.

 

기타

VFS를 EDS (EnCase Decryption Suite)와 연동하여 사용함으로써 해독된 파일을 EnCase 내에서 볼 수 있습니다.

RAID5를 VFS로 마운트하여 윈도우 탐색기에서 볼 수 있습니다.

증거이미지를 로컬시스템에 VFS로 마운트하여 윈도우 탐색기에서 삭제된 파일을 찾거나 분석할 수 있습니다. (파일을 여는 것은 불가능)

비할당 영역도 마운트 가능합니다.

 

 

감사합니다. 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)