[EnCase] EnCase의 Case 파일과 이미징 작업 준비

안녕하세요. 도깬리입니다.^^ 

즐거운 일요일입니다. 오늘은 증거분석의 첫 단추인 Case 파일에 대해 알아봅니다. 그리고 쓰기방지장치 연결에 대해서도 설명합니다. 시작합니다.

 

케이스 파일 (Case file)

케이스에 대한 정보를 저장하는 텍스트 파일입니다.

모든 증거이미지, 미리보기한 장치, 검색 결과등에 대한 포인터를 저장하고 있습니다. 쉽게 말하면 분석한 결과에 대한 모든 정보를 포함한다는 의미입니다.

 

케이스 저장의 기본 폴더

User Data folder를 임의로 지정하면 그것이 기본 폴더가 됩니다.

 

케이스 백업 파일

케이스 파일에 대한 자동 저장 백업파일입니다.

 

케이스 백업 파일의 기본 위치

C:\Users\<사용자명>\My Documents\EnCase\Cases\Backup

CaseRevisionFiles 폴더와 CaseBackupDtabase.sqlite 파일이 생성됩니다.

CASE 파일에 오류가 있으면, .CBAK 파일을 열어서 작업하면 됩니다.

기본적으로 .CBAK 파일은 10분 마다 저장됩니다.

 

케이스 백업 방법

[Case] -> [Case Backup] ->  [Use Current Case] ->  [Create custom]

 

케이스 백업 주기, 위치 변경

[Case] -> [Case Backup] ->  [Use Current Case] ->  [Change Settings]

 

케이스 복원 방법

Case Backup 창에서 특정 엔트리 체크하고  Restore  현재 케이스 또는 새케이스 폴더에 복원(Export 등 데이터가 있을 경우)을 선택하여 실행합니다.

 

 

EnCase 환경설정 파일

환경설정 파일 저장 위치입니다.

 

장치 또는 증거 캐시 (Evidence Cache 폴더)

시그너처 분석, 해시 분석, 인덱스 검색 등의 프로세싱의 결과를 저장합니다.

 

FastBloc SE

데이터가 쓰여지거나 수정되지 않는 것을 보장하는 모듈입니다.

하드웨어 쓰기방지 장치를 추가할 필요가 없습니다.

쓰기보호 또는 쓰기방지 모드를 선택한 후 USB 메모리를 연결해야 합니다.

 

쓰기보호 모드(Write Protected)

쓰기를 시도해도 캐시에 저장되지 않습니다.

실험결과, 윈도우 환경에서 이미 쓰기가 되지 않았습니다.

권장사항입니다.

 

쓰기방지 모드(Write Blocked)

드라이브에 쓰기를 시도하면 캐시에 저장됩니다.

즉, 쓰기를 시도한 흔적이 기록에 남는다는 측면에서 '쓰기보호 모드'와 차이점이 있습니다.

실험결과, 쓰기방지를 해도 윈도우 환경에서 쓰기가 가능하였습니다. 다만 EnCase에 add한 결과, 쓰기를 하기 이전의 데이터만 미리보기에 보입니다. 즉, 쓰기방지가 안된 것 같지만, 실제로는 쓰기방지가 된 셈입니다. 교육용으로 적합한 듯 합니다.

 

[Clear All]

쓰기금지를 해제할 때 클릭합니다.

결과는 창을 닫은 후, 다시 FastBlocSE 를 선택하여 확인 가능합니다.

 

 

[Add Local Device]

쓰기 방지 표시 : T 값과 초록색 사각형은 쓰기 방지가 되었다는 표시입니다.

 

 

[Device Attributes]

Edit 를 선택하여 Case에 추가되는 물리적 장치 이름을 기입합니다.

 

[Acquire]

이제 이미징을 시작합니다.

 

오늘은 여기 까지입니다.

 

'좋아요'와 '구독하기'는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)