EnCase를 이용한 이미지 사본 생성 방법

개요

디지털 포렌식 전문가 2급 실기 시험 대비를 위한 EnCase를 이용한 이미지 사본 생성 방법을 다루고자 한다.

시험에서는 증거용 USB, 제출용 USB 두 개가 개인에게 지급되며, 무결성을 훼손하지 않고 분석을 하기 위해 증거용 USB 사본을 생성해야 한다.

 

FTK Imager를 이용한 이미지 사본 생성 방법은 아래 링크를 참고하면 된다.

FTK Imager를 이용한 이미지 사본 생성 방법

---

 

사본 생성 방법

[그림 1] EnCase를 이용한 이미지 사본 생성 과정 (1/9)

EnCase의 홈(Home) 화면에서 "New Case" 버튼을 클릭하여 새로운 케이스를 만든다.

 

[그림 2] EnCase를 이용한 이미지 사본 생성 과정 (2/9)

옵션 선택 화면에서 ① 템플릿(Templates)을 지정해주고(아무거나 선택해도 상관 없음) ② Case 이름을 지정해준 다음

③ "Backup every" 옵션을 해제해준다. 해당 옵션의 경우 지정된 시간마다 자동으로 백업해주는 기능인데 시험장 컴퓨터가 사양이 좋지 않기 때문에 사용하지 않는 것을 추천한다. ④ 그 후 [ OK ] 버튼을 클릭한다.

 

[그림 3] EnCase를 이용한 이미지 사본 생성 과정 (3/9)

생성된 케이스에서 증거 추가를 위한 "Add Evidence" 버튼을 클릭해준다

 

[그림 4] EnCase를 이용한 이미지 사본 생성 과정 (4/9)

증거용 USB를 PC에 연결하고 "Add Local Device" 버튼을 클릭한다.

USB를 연결하기 전에 반드시 쓰기 방지 정책을 설정해야 한다.

 

쓰기 방지 설정 방법은 아래의 링크에서 확인 가능하다.

디지털 포렌식 전문가 2급 실기 준비 - 시험 전 확인사항 및 디스크 쓰기 방지

 

[그림 5] EnCase를 이용한 이미지 사본 생성 과정 (5/9)

쓰기 방지 설정이 적용된 USB만 볼 수 있도록 "Only Show Write-blocked" 옵션을 체크하고 다음 버튼을 클릭한다.

 

[그림 6] EnCase를 이용한 이미지 사본 생성 과정 (6/9)

출력되는 USB 목록이 없다면 쓰기 방지 정책이 설정되지 않은 것으로 쓰기 방지 설정을 한 다음 다시 USB를 연결해주면 연결된 USB 목록이 출력될 것이다.

표시된 목록 중 증거용 USB를 선택하고 [ 마침 ] 버튼을 클릭한다.

 

[그림 7] EnCase를 이용한 이미지 사본 생성 과정 (7/9)

증거가 정상적으로 추가 되었다면 [그림 7]과 같이 테이블 뷰어에 추가한 디스크가 표시 된다. 이 상태에서 상단의 "Process Evidence" 버튼을 클릭하고 "Acquire"을 선택해준다.

 

[그림 7] EnCase를 이용한 이미지 사본 생성 과정 (8/9)

출력되는 Acquire 옵션 창의 "Location" 탭에서 사용자가 지정한 임의의 이름을 지정해준다.

 

[그림 7] EnCase를 이용한 이미지 사본 생성 과정 (9/9)

① "Format" 탭으로 선택하고 ② "Evidence File Format" 옵션을 압축 이미지 파일 포맷인 "E01"로 설정한다.

③ 용량 압축 사용을 위해 "Compression" 옵션을 "Enabled"로 선택하고 ④ 이미지 해시 값은 MD5와 SHA1 둘 다 출력될 수 있도록 한다. ⑤ 마지막으로 이미지 압축 시 분할되지 않도록 "File Segment Size" 옵션은 최대한 큰 값으로 설정해준다.

그 후 확인 버튼을 클릭하면 이미지 사본이 생성된다.