안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Block Hash 두번 째 시간입니다. 모두 화이팅하세요.
Block Hash 실습
Block Hash map file 만들기 (Block 기반 해시셋 만들기)
Block Hash 분석으로 파일 복구하기
Block 기반 Hash 분석은 어떤 상황에서 사용되어야 하는가?
이 기법은 비할당 영역 등 삭제된 데이터를 확인하기 위한 것입니다. 정상적으로 존재하는 또는 복구된 데이터를 대상으로 검색하는 기법이 아닙니다.
Map files에서 읽혀진 해시값을 기반으로 마스터 해시 리스트(Master Hash List, 위에서 Hash List.txt)가 생성됩니다.
파일의 마지막 Block의 전체 영역을 차지하지 않는 각 파일의 끝 부분(꼬리 부분)의 길이와 해시를 저장할 목적으로 Tail-hash lists가 생성됩니다.
Master File Lists(Hash List.txt)는 검색대상인 타겟 파일의 위치를 확인하기 위해 생성되는 것입니다.
타겟 장치에서 검색되는 각각의 완전한 Block Hash는 마스터 해시 리스트(Hash List.txt)와 비교됩니다.
일반적으로 여러 개의 파일을 검색할 경우, 볼륨에서 클러스터 크기의 Block을 찾는 것이 더 좋습니다.
지능적인 꼬리 분석 (Intelligent Tail Analysis)
파일의 끝 부분(꼬리 부분, 완전한 Block을 차지하지 않는 파일 부분)은 그 자체로 단편화 되는 일이 거의 없는 것이 일반적입니다.
이 옵션을 사용하면 분석시간을 최대 50% 줄일 수 있습니다.
수정된 파일 찾기
Microsoft Word 문서처럼 Block 같은 구조(Office 2007 이전)를 가진 경우, Block 기반 해시 분석이 유용합니다.
실습 결과
감사합니다. 오늘도 즐거운 하루 되세요,
"좋아요"와 "구독하기"는 힘이 됩니다
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
[EnCase] RAID 시스템 분석하기 (2) (0) | 2022.06.12 |
---|---|
[EnCase] RAID 시스템 분석하기 (1) (0) | 2022.06.10 |
[EnCase] Block 기반 해시분석(Hash Analysis)을 통한 파일 복구 (1) (0) | 2022.06.05 |
[EnCase] EnCase로 구형 안드로이드 스마트폰의 microSD card 분석하기 (0) | 2022.06.03 |
[EnCase] EnCase로 구형 안드로이드폰 분석하기 (2) (0) | 2022.06.01 |