[EnCase] 해시값(Hash Value)과 해시분석 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 해시분석 두번째 시간이네요. 해시분석(Hash Analysis)을 할려면 해시 데이터베이스가 필요하겠죠. 해시 데이터베이스(또는 해시 라이브러리)를 구성하거나 추가하는 방법, 공개된 해시DB를 활용하는 방법을 알아 보겠습니다.

 

해시 라이브러리 만들기

[Tools] -> [Manage Hash Library…]를 선택합니다

 

해시 라이브러리에서 해시값을 갖는 해시셋 생성하기

해시셋에 포함시킬 파일에 대한 해시값을 미리 계산합니다.

[Entries] -> [Hash\Sig Selected…]를 선택하여 실행합니다.

 

원하는 해시 라이브러리를 Case에 연결하는 방법

[Cases] -> [Hash Libraries…]를 선택합니다.

Primary 해시 라이브러리의 Hash Library path 셀을 더블클릭합니다.

추가해야 할 파일을 선택한 후, [Entries] -> [Add to hash library…]를 실행합니다.

만약, 해시셋을 새로 만들어야 된다면 Existing hash sets의 빈 공간에 오른 마우스 눌러 [New hash set…]를 선택합니다.

 

[Hash Set Category]의 2개의 카테고리

Notable

악성프로그램, 포르노 사진 등을 주목하여 수색하고자 할 때 사용하는 카테고리입니다.

 

Known

운영체제 설치 파일 등을 수색에서 제외하고자 할 때 사용하는 카테고리입니다.

 

해시 셋 생성 확인하기

 

 

[Skip items with no MD5 or SHA1]

해시셋을 만들 때 대상 파일들 중 몇 개가 해시값을 갖고 있지 않으면 이 옵션을 체크해야 합니다.

 

인터넷에서 다운받은 공개용 NSRL 해시 라이브러리를 Case에 추가하기

 

 

감사합니다.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)