EnCase

[EnCase] EnCase 이미징 (Imaging) 방법을 알아 보자!

도깬리 2022. 1. 24. 06:15

주말 잘 쉬셨어요? 도깬리입니다.^^

오늘은 EnCase로 디지털 기기를 이미징(Imaging)하는 것을 설명합니다. 디지털 포렌식에서 이미징만큼 중요한 것도 없죠. 이미징이 없이는 분석도 없으니까요. 자, 시작해볼까요.

 

장치 이미징하기 – Location 탭

 

[Name]

Case에 표시될 Evidence 이름 입니다.

이미지 파일의 헤더에 저장됩니다.

 

[Evidence Number]

증거번호 입니다.

이미지 파일의 헤더에 저장됩니다.

 

[Case Number]

사건번호 입니다.

이미지 파일의 헤더에 저장됩니다.

 

[Examiner Name]

이미징을 처리한 조사자 이름을 기입합니다.

 

[Notes]

간단한 메모를 입력할 수 있습니다.

이미지 파일의 헤더에 저장됩니다.

 

[Restart Acquisition]

이미징을 하다가 중단된 경우, 끊어진 위치에서 다시 시작하게 합니다.

 

[Remote acquisition]

원격 이미징에 관한 기능입니다.

 

[Output Path]

포렌식 이미지가 저장된 위치를 지정합니다.

 

[Alternate Path]

Output Path의 공간이 부족하거나, 동시에 2개의 이미지 파일을 생성하는 경우, 두번째 경로를 잡아줍니다.

 

 

 

장치 이미징하기 – Format 탭

 

[Evidence File Format]

E01 : [Password]를 추가해야 합니다.

Ex01 : [Encryption]과 [Password] 둘다 가능합니다.

 

[Compression]

압축은 이미징 시간과 상관관계가 있습니다.

즉, 이미징 시간을 감안하여 선택해야 합니다.

압축을 하게 되면 무압축의 경우 보다 3배의 시간이 더 소요되고, 크기는 2~3배 정도 작아집니다.

증거이미지가 압축이 되었든 아니든 상관없이 동일한 해시값을 갖습니다.

 

[Verification Hash]

MD5와 SHA1을 이용합니다.

증거이미지 내부에 Acauisition Hash/SHA1 값으로 저장됩니다.

 

[File Segment Size (MB)]

저장 단위 또는 테이프 아카이빙 등의 목적으로 파일 세그먼트 크기를 정할 수 있습니다.

디폴트는 2018 MB으로, DVD 한장에 들어갈 분량입니다.

 

[Password]

E01과 Ex01 포맷 모두 Password를 넣을 수 있습니다.

 

[Encryption]

Ex01 포맷을 선택하는 경우에만 적용 가능합니다.

 

 

 

장치 이미징하기 – Advanced 탭

 

[Block Size (Sectors)]

몇 개의 섹터를 하나의 데이터 블록으로 잡을지 선택해야 합니다.

최소 64 섹터 최대 1024 섹터 입니다. 보통 64섹터로 합니다.

 

[Error Granularity]

입도오류’ 라고 합니다. 어려운 말이죠. 쉽게 말하면 읽기 오류가 있으면 건너뛰는 단위라고 생각하면 됩니다. [Standard]와 [Exhaustive]가 있습니다.

 

[Standard]

배드섹터(읽기오류)가 발생하면 64개의 섹터를 ‘0’으로 처리합니다.

이미징 속도가 빨라지게 되겠죠.

 

[Exhaustive]

배드섹터(읽기오류)가 발생하면 오류가 발생한 1개의 섹터만를 ‘0’으로 처리합니다.

이미징 속도가 느려지게 되겠죠.

 

[Start Sector]

stop sector와 함께 기본적으로 매체 전체 섹터를 잡아줍니다.

 

[Stop Sector]

start sector와 함께 기본적으로 매체 전체 섹터를 잡아줍니다.

 

[Read ahead]

어떤 데이터를 이미징 하는 동안, 다른 데이터를 대상 하드드라이브에서 미리 읽어 옵니다.

이미징 속도가 빨라지게 됩니다.

 

[Keep GUID]

EnCase에서 대상 디지털 기기나 증거이미지를 인식하는 값이다.

 

 

Verification이 끝나야 Case 파일을 통해 접근이 가능해집니다.

이미징이 끝나면, [Tools]  [FastBloc SE]에서 FastBock SE를 제거합니다.

 

이미징 결과 확인

 

 

감사합니다.

 

'좋아요'와 '구독하기'는 힘이 됩니다.^^

 

참고문서 : EnCase Computer Forensics (1)

저작자표시 비영리 변경금지

'EnCase' 카테고리의 다른 글

[EnCase] EnCase의 분석 기능 (Evidence Processing)  (0) 2022.01.26
[EnCase] EnCase Processing 준비하기  (0) 2022.01.25
[EnCase] EnCase의 Case 파일과 이미징 작업 준비  (0) 2022.01.23
[EnCase] EnCase의 증거이미지 (E01, Ex01)  (0) 2022.01.22
[EnCase] EnCase의 View 창을 알아봅시다.  (0) 2022.01.21

'EnCase'의 다른글

  • 현재글[EnCase] EnCase 이미징 (Imaging) 방법을 알아 보자!

관련글

댓글

티스토리툴바