안녕하세요. 도깬리 입니다. ^^
파일 카빙(File Carving)은 디지털 포렌식 기술의 꽃이라 할 만 합니다. 비할당 영역에서 데이터를 복원하는 이 기술은 현존하는 최고의 복원 기술입니다. 파일 카빙에 대해 알아 봅시다.
파일 카빙 (File Carving)
비할당영역을 대상으로 알려진 파일 헤더(File header, Signature)와 푸터(File footer, EOF(End Of File) Marker)를 이용하여 복원을 하는 기술입니다.
JPEG를 제외한 대부분의 파일은 파일 전체를 복구해야 정상적으로 복원이 됩니다.
JPEG와 같은 파일은 파일의 일부분만 복구해도 해당 부분만큼은 복원이 됩니다.
EnCase V7 이후 버전에서의 수동 카빙 순서
(1) File Types 테이블에서 JPEG Image Non-Standard와 Standard를 찾은 후, 시그너처를 복사합니다.
(2) 다음과 같이 GREP 키워드를 만듭니다.
\xFF\xD8\xFF[\xFE\xE1\xDB\xE0\xEE]
(3) Evidence 탭으로 가서 Unallocated Clusters에 체크합니다.
(4) [Raw Search Selected] -> [New Raw Search Selected…] 선택합니다.
(5) 검색 키워드에 대한 이름과 저장 경로를 지정합니다.
(6) [New]를 눌러 키워드를 입력합니다.
Search Expression : \xFF\xD8\xFF[\xFE\xE1\xDB\xE0\xEE]
Name : JPEG Header
Search Options : ANSI Latin -1과 GREP에 체크
(7) [View] -> [Console] 에서 검색 결과를 확인합니다.
(8) Text 또는 Hex 뷰에서 [Compressed View]를 눌러 검색결과를 한눈에 확인합니다.
(9) 히트된 검색결과의 첫번째 바이트를 하이라이트 한후, Decode 탭을 선택하여 디코딩을 맞추어 줍니다.
(10) 수동 카빙으로는 복원된 문서를 EnCase 내에서 열람만 가능합니다.
즉, Export 하기 위해서는 자동 카빙을 하는게 좋습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (1)
'EnCase' 카테고리의 다른 글
| [EnCase] 디바이스 복원 (Device Restore)하는 방법 (0) | 2022.02.16 |
|---|---|
| [EnCase] 파일 카빙 (File Carving) (2) (0) | 2022.02.15 |
| [EnCase] EnCase의 협업기능 (Review Pakage) (0) | 2022.02.13 |
| [EnCase] Bookmark 결과물을 보고서로 내보내는 방법 (0) | 2022.02.12 |
| [EnCase] 해시값(Hash Value)과 해시분석 (3) (0) | 2022.02.11 |