[EnCase] 고급 Conditions 기능을 이용한 데이터 선별하기

안녕하세요. 도깬리포렌식스입니다.

오늘은 컨디션을 이용한 다중 선별에 대해서 알아 봅시다. EnCase의 Conditions 기능은 다양한 속성값을 참조하여 분석관이 원하는 결과를 잡아내는데 매우 유용한 기능입니다. 사례별로 최적화된 여러 가지 템플릿을 만들어 두면 편리하겠죠...

 

프로세스 메모리의 한계와 새로운 대안

EnCase 구버전의 경우 파일시스템 메타데이터, 각종 검색 및 처리 결과, 레지스트리 등 복합파일 등의 대용량 데이터를 RAM에 저장하였습니다.

그런 결과, ‘무응답’ 시간이 길어지거나, 다운되는 현상이 자주 발생하였습니다.

따라서 대안으로써 디스크에 저장하는 방법을 고안하게 된 겁니다.

참고로  FTK의 경우에는 데이터베이스에 저장하는 형태입니다.

 

컨디션 사용시 주의 사항

전체 케이스 내의 모든 증거파일을 대상으로 컨디션을 사용해서는 안됩니다.

현재 뷰에 있지 않은 파일까지 모두 RAM에 올려야 하므로 시간 지연의 주된 원인이 되기 때문입니다.

컨디션은 Entries, Records, Results 에서만 적용됩니다.

 

컨디션 연습

컨디션 기준 설정

선별결과에서 아래의 사항을 제외하려고 합니다. (예제)

- 관련 없는 파일 형식을 나타내는 Descriptions (예: 비할당, 내부, 시스템 등)

- Logical size 가 0인 파일

- 관련 없는 경로를 포함한 파일/폴더 (예: i386 윈도우 설치 폴더, Lost Files 등)

- Hidden Files

- Data Streams

- 관련 없는 폴더

- 일반적인 확장자를 갖지 않은 파일들

- 2010. 4. 1. 이전의 파일들

 

선별결과에서 아래의 사항을 포함하려고 합니다. (예제)

- 소스파일과 일치하는 해시값이나 이름을 갖는 파일들

- 사건 관련 용의자가 소유한 파일들

- 사건 관련 키워드를 포함하는 파일들

 

제외 항목에 해당하는 컨디션 만들기

아래 확장자 이외의 것은 모두 제외합니다.

- alz, avi, doc, docx, hwp, eml, jpeg, jpg, lnk, mp3, mp4, mpg, msg, ost, pdf, png, ppt, pptx, pst, tif, txt, wma, xls, xlsx, zip

 

아래 Description 을 갖는 엔트리는 제외합니다.

- Deleted, Folder, Hidden, Internal, Invalid Cluster, Physical Disk, Reparse Point, Stream, Sym Link, System, Unallocated Clusters, Volume

Logical Size가 0인 파일은 제외합니다.

Item Path(구버전에서는 Full Path)가 다음에 해당하는 것도 제외합니다.

- \Lost Files\, \$Extend\, \Boot\, \MSOCache\, \PerfLogs\, \System Volume Information\

File Created 와 Last Written이 2010-04-01 이전인 파일도 제외합니다.

 

제외 항목에 해당하는 엔트리를 확인

최 상위 레벨에 ‘Not’ 논리 연산자를 붙이면 관련성 있는 파일만 볼 수 있게 됩니다.

 

 

특정 파일명과 해시값을 이용하여 추출하는 조건을 추가합니다.

 

 

특정 사용자의 permission을 가진 파일을 찾아내는 조건을 추가하여, 혐의자가 소유하거나 컨트롤 가능할 파일만을 추출할 수 있습니다.

 

혐의자의 SID를 우선 확인한 후, Permissions 탭에서 권한을 확인합니다.

혐의자의 SID를 복사하여, 컨디션의 Filter 탭에서 Permission 필터를 만들 때 붙여넣기 합니다.

컨디션의 Properties에 없는 것은 Filters 탭에서 필요한 항목을 찾아서 Conditions 의 Properties 항목으로 추가 시켜 주어야 합니다.

 

최종적으로 Conditions의 구성은 다음과 같습니다.

1차 선별

파일의 확장자, 파일의 상태, 파일 크기, 경로, 파일의 날짜를 기준으로 하여 선별합니다.

 

2차 선별

1차 선별에서 제외된 나머지 파일 중에서 특정 파일명, 해시값(보통 일반 수사관들이 제공함)으로 추가 선별합니다.

 

3차 선별

1, 2차 선별에서 제외된 나머지 파일 중에서 특정 사용자의 SID로 추가 선별합니다.

필요한 컨디션 제작이 완료되면, Evidence Processing을 합니다.

이때 Compound Files, Emails, Internet Files, Registries 등 원도우 시스템 분석에 필요한 주요 분석모듈을 모두 수행하고, Index DB까지 만들어 둡니다.

EP를 수행한 후, All evidence Files를 대상으로 하여 준비한 Conditions를 수행합니다.

리뷰팀으로부터 필요한 키워드를 받아, 이를 이용하여 Index 검색을 합니다.

검색결과는 Results 탭에서 별도의 이름으로 저장하여 둡니다.

Conditions 수행 결과와 Index 검색의 수행결과를 통합한 후, 이를 추출합니다.

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics