[EnCase] 디바이스 복원 (Device Restore)하는 방법

안녕하세요. 도깬리 포렌식스 입니다.

증거분석을 하다보면 증거 이미지 파일을 물리적 디스크로 복원하여야 하는 경우가 있습니다. 동적 분석환경을 만들어 컴퓨터 사용자 관점에서 데이터를 들여다 봐야 하는 경우, 실험을 해야 하는 경우가 그런 예 입니다. EnCase에서는 이것을 Device Restore 라고 합니다. 이제 시작해 볼까요?

 

물리적 드라이브 복원

증거 이미지의 모든 내용을 분석관이 만든 임의의 윈도우 드라이브에 섹터 단위로 복사하는 것을 말합니다.

복사될 드라이브는 원본 드라이브보다 사이즈가 더 커야 합니다.

물리적 복원을 하기 전에 미리 복사될 드라이브는 와이핑(wiping) 해 두는 것이 좋습니다.

 

 

EnCase V7 이후의 디바이스 복원 (Device Restore)

Evidence 탭에서 물리적 드라이브 하이라이트 -> [Device] -> [Restore…]

 

어느 드라이브로 복원해야 하는가?

윈도우가 설치되어 있는 드라이브로는 복원 불가합니다.

복원될 드라이브는 원본 드라이브보다 용량이 커야 합니다.

 

[Wipe remaining sectors on target]

복원될 드라이브에서 원본의 섹터수를 초과하는 섹터는 모두 지정한 문자로 덮어쓰기 합니다.

 

[Verify Wiped Sectors]

정확하게 복원 되었는지 원본 이미지와 비교 검증합니다.

 

복원이 완료되면 원본 이미지와 복사본의 해시값이 Console 창에 나타납니다.

 

 

논리적 볼륨 복원

원본 이미지에 포함된 논리적 볼륨은 크기가 동일하거나 더 큰 볼륨으로 복원되어야 합니다.

파일시스템 포맷도 동일해야 합니다.

복원을 수행 하기 전에 파티션을 나누고, Wiping 해 두어야 합니다.(Wiping은 복원 과정에서 자동으로 선수행됨)

지원 가능 파티션은 FAT16, FAT32, NTFS 입니다.

 

감사합니다.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)