[EnCase] 논리적 증거 이미지 (Logical Evidence Images)

안녕하세요. 도깬리 포렌식스입니다.

화창한 주말 아침입니다. 오랜만에 밝은 햇살을 보니 기분이 상쾌해집니다. 오늘은 논리적 증거 이미지 (Logical Evidence Images)만드는 방법과 관련된 개념들을 알아 봅시다.

 

싱글 파일

로그 파일, 레지스트리 파일, 이메일 아카이브, 디지털 사진 등 개별파일을 EnCase에 추가할 수 있습니다.

EnCase V6 : [Activate Single File]

EnCase V7 이후 : drag & drop

 

논리적 증거이미지

싱글 파일을 논리적 증거이미지에 추가하여 파일의 시간정보를 유지하면서, 데이터의 무결성을 주장할 수 있습니다.

물리적 디스크 또는 볼륨의 일부만을 선택적으로 이미징할 수 있습니다.

 

 

[Acquire] -> [Create Logical Evidence File]

 

[Target folder within Evidence File]

EnCase 내에서 보여지는 최상위 폴더의 이름입니다.

 

[Include contents of files]

체크하지 않으면, 파일 이름만이 논리이미지에 포함됩니다.

 

[Include contents of folder objects]

체크하지 않으면, 폴더 안의 파일만 포함됩니다.

즉, 폴더 관련 정보는 포함되지 않습니다.

 

[File in use]

체크하면, EnCase Enterprise를 사용할 경우, 원격지 사용자의 사용중인 파일도 포함 가능합니다.

 

[Include original extents]

체크하면, 원래의 물리적 위치에 대한 정보도 포함 가능합니다.

 

[Lock file when completed]

완료시, CD 또는 DVD 처럼 논리이미지를 닫고 더 이상 자료를 추가할 수 없습니다.

 

[Evidence File Format]

L01, Lx01 포맷 가능합니다.

 

[Compression]

 

[Hashing]

기본값은 MD5입니다.

 

[File Segment Size (MB)]

기본값은 2048MB입니다.

 

[Encryption]

논리이미지에 패스워드를 적용 가능합니다.

 

논리이미지에 대한 해시값 확인 방법

원칙적으로 논리이미지에 대하여 해시값이 자동으로 계산되지 않습니다.

컨테이너 안의 개별 파일에 대한 해시값이 자동으로 계산되므로 그 전체에 대한 해시값은 불필요하다고 생각에서 비롯된 것입니다.

 

수동 해시값 계산 방법

Evidence 탭의 초기 화면에서 오른쪽 끝의 역삼각형 클릭 -> [Create Single Files] -> [Edit Single Files] -> [Add Files] -> 원하는 논리이미지를 추가함 -> 해당 File 체크 -> [Entry] -> [Hash/Sig Selected]

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)