안녕하세요. 도깬리 포렌식스 입니다.
오늘은 증거이미지를 분석시스템에서 로컬 드라이브로 잡아 마운트 시켜 주는 방법에 대해서 알아 봅시다. Physical Disk Emulator 라는 기능입니다. 이것은 가상환경을 구현하여 분석할 때 사용하는 기술입니다. 자. 시작할까요?
PDE 개요
Physical Disk Emulator 라고 합니다.
증거이미지를 윈도우 탐색기에서 조사할 수 있도록 로컬 드라이브로 마운트 시켜 주는 기술입니다.
악성프로그램에 대하여 안티바이러스 프로그램으로 진단할 목적으로, 컴퓨터 증거를 마운트할 경우, PDE가 가장 많이 사용됩니다.
로컬시스템에 마운트가 가능한 증거 이미지 포맷
EnCase 증거이미지
dd 이미지
SafeBack v2 이미지
VMware 이미지
미리보기로 접근한 라이브 컴퓨터 포렌식 증거
주의할 점
절대로 자기 시스템에 관한 증거 이미지나 하드드라이브 미리보기에서 마운트하면 안됩니다.
분석자 자신의 컴퓨터 하드드라이브를 마운트 하게 되면 Window에서 동일한 드라이브를 인식하게 되어 치명적 오류가 발생할 수 있습니다.
오로지 타인 컴퓨터 등 저장매체에 관한 증거이미지 만을 마운트 해야 합니다.
[Device] -> [Share] -> [Mount as Emulated Disk]
Client Info 창의[Cache Type] 등 캐시 옵션
증거이미지 데이터는 읽기 전용이기 때문에 이를 마운트할 경우, 데이터 쓰기가 일어 나지 않습니다.
따라서, 기본적으로 [Cache Type]와 [Write cache path] 옵션은 비활성화 되어 있기 마련입니다.
만약, Cache를 활성화하게 되면, OS 또는 프로그램에 의한 변경사항들이 분석관의 로컬시스템에서 지정한 별도의 폴더에 저장됩니다.
새로운 캐시 파일을 EnCase Differential Evidence File(D01 파일)로 만들려면 [Disable caching]을 체크하지 말아야 합니다.
[Create new cache]
[User existing cache]
[Write cache path]
[Disable caching]
체크 하면, 마운트된 가상 드라이브는 읽기 전용으로 됩니다.(쓰기 불가능)
체크 안하면, 마운트된 가상 드라이브에 쓰기가 가능하고, 변경된 사항들은 별도의 cache(DO1 파일)에 저장됩니다.
[Enable MBR Signature]
Key를 레지스트리에 추가하여 디스크가 더 잘 마운트되게 해줍니다.
에뮬레이트된 디스크로 부팅하기
가상으로 마운트(에뮬레이트)한 가상 드라이브를 부팅하게 할 수 있는 기술입니다.
부팅에 사용되는 도구
VmWare
LiveView
무료이나 Windows 7 이후 시스템에 대한 가상 부팅은 지원하지 않습니다.
실험결과, LiveView에서 가상 드라이브를 인식 못했습니다.
에뮬레이트된 디스크 마운트 해제하기
오른쪽 하단 Physical Disk Emulator 상태바를 더블클릭하여 취소합니다.
[Discard final cache]
변경사항이 저장된 캐시를 지웁니다. ‘흔적 지우기’
해제 순서
가상머신 종류 -> 가상 디스크 Unmount -> EnCase 종료
한번에 하나만 마운트 가능, 즉 다른 드라이브를 마운트하려면, 현재 마운트된 가상 드라이브를 Unmount 해주어야 합니다.
감사합니다. 오늘도 즐거운 하루 되세요
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] 윈도우 사용자 데이터 (User Data) 분석 (1) (0) | 2022.04.08 |
|---|---|
| [EnCase] GREP 표현식과 검색 기술 (0) | 2022.04.06 |
| [EnCase] 논리적 증거 이미지 (Logical Evidence Images) (0) | 2022.04.02 |
| [EnCase] 가상 파일시스템 (Virtual File System) 분석 기법 (0) | 2022.03.30 |
| [EnCase] 인덱스 검색 (Index Searches) (0) | 2022.03.28 |