[EnCase] EnCase의 증거이미지 (E01, Ex01)

안녕하세요. 도깬리입니다.

오늘은 EnCase의 증거이미지에 대해 알아 봅니다. EnCase의 증거이미지 포맷은 전세계적으로 가장 많이 사용되는 포맷 중 하나랍니다. 그럼 시작할까요?

 

EnCase 증거이미지

 

레거시(과거) 포맷 : .E01

현재 포맷 : .Ex01

 

EnCase 레거시 E01 포맷 증거이미지

 

헤더

이미징시 사용자가 입력한 정보가 포함됩니다.

세그먼트 크기, 개수, 압축 여부, 증거이미지 이름, 메모, 패스워드가 헤더에 저장됩니다.

헤더 정보는 자동으로 압축됩니다.

 

순환 중복 검사 (Cyclical Redundancy Check, CRC)

checksum 의 변형된 형태입니다.

CRC 값은 데이터의 순서열과 상관 관계가 있습니다. 즉 스트링 1234 와 4321의  체크섬값은 동일하 CRC 값은 서로 다릅니다.

대부분의 하드드라이브는 각각의 섹터마다 CRC 값을 저장합니다.

디스크에서 읽기 오류(bad sector)가 발생하는 이유는 특정 섹터에 저장된 CRC 값이 그 섹터를 읽어 들이면서 재계산했을 때의 CRC값과 일치 하지 않기 때문입니다.

CRC는 증거이미지를 압축하지 않을 경우 각각의 데이터 블록 뒤에 존재합니다.

 

증거이미지 포맷

파일을 구성하는 각 데이터 블록의 바이트는 32비트 CRC를 이용하여 검증합니다.

각 데이터 블록의 기본 크기 : 64섹터

데이터 블록의 내용이 서로 다름에도 불구하고 CRC 값이 같을 확률은 : 40억분의 1

 

Acquisition Hash와 CRC

기본적으로 128비트 MD5 해시값을 계산하여 세그먼트의 끝에 저장합니다.

160비트의 Acquisition SHA-1 값 계산도 가능합니다.

증거이미지는 기본적으로 읽기전용으로 생성됩니다.

증거이미지를 케이스에 추가하면 자동으로 CRC 값을 검증하고, 증거이미지 내부에 존재하는 증거 데이터에 대한 해시값을 재계산합니다.

 

 

해시값 계산 방법

 

Disk/Volume 에서의 해시값 계산

[Device] -> [Hash]

 

File 에서의 해시값 계산

해시값을 계산할 파일부터 먼저 체크한 후, [Entries] ->  [Hash\Sig selected]

 

 

압축

EnCase는 Zlib 압축 알고리즘을 사용합니다.

JPEG와 같은 이미 압축된 데이터는 압축률이 떨어지니 참고하세요.

압축을 한다고 증거이미지에 영향은 없으며, 압축된 불록이든 아니든 동일하게 검증이 이루어집니다.

즉, 압축을 한 증거이미지든, 압축을 하지 않은 증거이미지든 해시값은 동일합니다.

이것은 증거 데이터에 대한 압축을 하기 전에 미리 해시값을 계산하여 두기 때문입니다.

 

자동으로 증거이미지 검증하기

증거이미지를 케이스에 처음으로 추가하면, 자동으로 전체 디스크 이미지에 대한 무결성 검증이 일어납니다.

 

EnCase 증거이미지 .Ex01

Ex01 포맷의 경우 암호화가 가능합니다. 다음은 포맷 구조입니다. 참고만 하세요.

 

 

 

즐거운 하루 되세요. '좋아요'와 '구독하기'는 힘이 됩니다.^^

 

참고문서 : EnCase Computer Forensics (1)