EnCase

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

Encase는 Guidance Software 社에서 제작한 통합 포렌식 도구이며 Windows 환경에서 실행 가능하다. 상용 소프트웨어로써 Encase Forensic의 경우 $2,995(약 333만원)에 구입 가능하며 라이선스 별 가격은 공식 홈페이지에서 확인 가능하다. 지원하는 대표적인 기능은 Triage, Collect, Process, Search, Analyze, Report이다.

[그림 1] Encase 실행화면

사용법

Encase에서는 증거 분석을 ‘케이스(Case)’라는 기본 단위로 관리한다. 케이스는 시작화면에서 ‘New Case’를 클릭하여 생성할 수 있다([그림 2] 참조). 케이스 생성 옵션 화면에서 케이스 이름, 케이스 번호, 케이스 조사관, 설명을 입력할 수 있다. Cache 파일 위치 설정이 가능하며 케이스 설정 템플릿을 사용하여 케이스를 생성할 수 있다. 케이스 생성 후 분석 대상 증거파일들을 추가하기 위해 ‘Add Evidence’를 클릭하여 추가 한다. ‘Add Evidence’ 클릭 후 추가 할 수 있는 수집 목록은 아래와 같다.

  • Local Device
  • Network Preview
  • Evidence File
  • Raw Image
  • Acquire Smartphone
  • Add Crossover Preview


디지털 포렌식 수사에서 수집한 저장 매체를 쓰기방지장치에 마운트 하여 분석 시 ‘Add Local Device’를 클릭하여 추가한다. [그림 3]은 ‘Add Local Device’ 설정에 관한 그림이다. ‘Enable Physical Memory’ 설정을 통하여 물리 메모리 수집 및 분석이 가능하다. 그리고 Write Blocker 장치가 동작 여부를 ‘Detect Legacy Fastbloc’ 설정을 통해 확인 가능하다. 저장매체 설정을 마친 후 수집한 저장매체를 증거 파일로 추가한다.

[그림 4]는 로컬디바이스 장치 목록 예시이며 쓰기방지장치나 쓰기방지가 된 드라이브는 ’Write Blocked’ 항목이 체크된다. 추가할 이미지는 논리레벨이나 물리레벨로 추가 할 수 있다.

드라이브 추가가 끝나면 [그림 5]의 ‘(2)’번 영역에 사용자가 설정한 저장 매체 항목이 추가 되며 해당 매체를 클릭하면 매체에 맞는 파티션 정보나 파일 구조를 해석하여 [그림 5]의 ‘(1)’번 영역에 트리 형태로 해석한다. 그리고 [그림 5]의 ‘(1)’번 영역에서 원하는 폴더경로에서 마름모꼴의 팔레트를 클릭 하는 경우 원하는 경로의 모든 파일 리스트를 확인 할 수 있다. 이 결과는 [그림 5]의 ‘(2)’번 영역에 출력된다. 아래 [그림 6]은 팔레트 버튼 선택 후 결과 화면이다.

파일 추출이나 해석된 정보를 확인하기 위해 팔레트 옆 네모꼴의 체크박스를 사용할 수 있으며 [그림 5]의 ‘(1)’의 영역을 체크할 경우에는 폴더단위로 선택 가능하며 [그림 5]의 ‘(2)’의 영역에서 체크박스를 선택하는 경우 개별 파일 단위로 선택 가능하다 [그림 5]에서 추가한 증거 파일에서 증거 수집을 위해 Encase에서 제공하는 ’Process Evidence’ 메뉴를 사용할 수 있다. 이 기능은 파일의 시그니처 분석, 파일의 해시 정보, 이메일 정보, 인터넷 사용흔적 기록, 시스템 정보, 파일 복구, 키워드 검색을 사용할 수 있다. ‘Process Evidence’ 메뉴에서 제공하는 ‘Process’ 기능으로 아티팩트 수집 시 선택된 증거 파일에서 ‘Acquire’를 통해 아티팩트를 수집하는 방법이 존재한다. ‘Acquire’는 증거파일 내에서 원하는 영역을 추출 하여 파일로 저장한다. ‘Process’의 실행 방법은 [그림 7]과 같다.

‘Process’ 설정 화면에서 원하는 옵션을 Enabled 로 설정 후 아티팩트를 수집 할 수 있다. 해당 옵션들 중 세부 옵션을 지원 하는 옵션은 새로운 대화상자 창이 생성되어 세부 옵션을 설정 한다. [그림 8] 은 Process 의 설정 화면 이다.

Process 옵션 중 ‘Search for keywords’ 설정은 파일의 내용이나 제목을 해석하여 원하는 키워드를 검색 후 결과를 출력 한다. 해당 내용을 통해 수집된 아티팩트 중 사용자가 설정한 결과를 확인할 때 활용할 수 있다. ‘Search for keywords’의 설정은 [그림 9]와 같다.

사용자가 원하는 특정 파일을 추출하기 위해서는 해당 파일들을 [그림 5]의 ‘(2)’에서 체크한다. 체크한 파일에 우클릭하여 ’Entries‘ 속성의 ’Copy Files’를 선택하여 파일 추출이 가능하다. 또한 [그림 10]에서 표시된 부분을 클릭 후 ’Copy Files’를 선택하여 추출할 수 있다. 이후 추출 설정은 파일을 클릭하여 포커스가 발생한 파일을 추출하는 ’Highlighted File’ 설정과 체크박스를 선택하여 선택한 파일들을 추출하는 ‘All selected files’ 설정이 존재한다.

도구 기능

지원 운영체제 및 사양

Encase 는 Windows 환경에서 동작하며 Guidance 社에서는 권장사양의 환경에서 구동할 것을 권고하고 있다. 지원 운영체제 및 하드웨어 요구 사항은 [표 1]과 같다.

[표 1] 지원 최소사양 및 권장사양
시스템 요구 사양
CPU Dual Core processor
Quad Core processor (권장)
Intel Itanium processors 지원 안함
RAM 4 GB RAM (32-bit computer)
4 GB RAM (64-bit computer)
16 GB RAM (권장)
DISK 운영체제 드라이브 : SATA 7200 RPM 성능의 하드디스크
증거 저장 드라이브 : SATA 7200 RPM 성능의 하드디스크
증거 백업 드라이브 : SATA 7200 RPM 성능의 하드디스크
OS Windows XP Professional
Windows Server 2003 Standard
Windows Server 2008 R2 Standard
Windows Vista
Windows 7 (32-bit)
Windows 7 (64-bit) (권장 운영체제)
Windows 8
Windows 8.1
Windows Server 2012
Windows Server 2012 R2

케이스 생성

[그림 11] 케이스 생성 시 옵션 대화상자

프로그램 실행 후 “New Case”를 선택하면 [그림 11]과 같이 케이스 생성 시 옵션을 설정할 수 있다. 미리 정해진 케이스 템플릿을 사용하여 케이스 번호, 조사관 정보, 케이스 설명과 같은 정보를 입력할 수 있다. 또한 케이스 저장 위치와 증거 캐시 파일 위치, 케이스 백업파일 위치를 지정할 수 있다. 케이스 백업 설정에서 자동 백업 시간 조정 및 백업파일 최대 사이즈를 지정 할 수 있다.

케이스 백업

[그림 12] 케이스 백업

[그림 12] 과 같이 케이스 백업이 가능하며 백업 데이터베이스에서 허용하는 크기만큼 보관 가능하다. 아래는 백업방식의 종류이다.

  • Custom : 사용자가 원하는 백업 이름과 설명을 삽입하여 원하는 때에 백업하여 드라이브에 저장하는 방식
  • Scheduled : 케이스를 새로 만들거나 사용자가 백업 스케줄을 생성하였을 때 백업하여 드라이브에 저장하는 방식
  • Daily : 매일 자정에 케이스를 백업 하여 드라이브에 저장하는 방식
  • Weekly : 매일 백업된 케이스를 매주 일요일 자정에 저장하는 방식
  • Monthly : 매일 백업된 케이스를 매달 첫 번째 날 자정에 저장하는 방식

증거 수집

[그림 13] 증거 수집 기능

Encase 에서는 [그림 13]과 같이 증거 수집 기능을 사용할 수 있다. 수집한 증거는 “.Ex01“ 과 “.Lx01“ 파일로 출력된다.

‘.Ex01’ 파일은 ‘.E01’파일에서 LZ방식 압축 기능을 지원하여 용량 효율이 개선된 증거 파일이다. AES-256 방식으로 암호화 가능하며 무결성 검증을 위해 수집 파일의 MD5와 SHA-1 해시를 지원한다. “.Lx01“파일은 ‘.L01’파일에서 LZ방식 압축 기능을 지원하여 용량 효율이 개선된 증거 파일이다. 암호화 기능은 지원하지 않으며 무결성 검증을 위해 수집 파일의 MD5와 SHA-1 해시를 지원한다.

쓰기 방지 기능

Encase는 저장매체 삽입 시 Encase프로그램 자체에서 쓰기 방지 기능을 지원한다. [그림 14]는 쓰기 방지 기능을 실행한 그림이며 그림의 오른쪽은 쓰기 방지 가능한 매체 정보를 나타낸다.

[그림 14] 쓰기 방지 기능

파일 시그니처 분류 기능

Encase에서는 Evidence 탭 내 [그림 15]와같이 “Process” 과정을 통해 증거 분석이 가능하다. 옵션 중 “File signature analysis”를 체크하여 매체 내의 증거 파일에 대해 시그니처 분석이 가능하다. “File signature analysis” 수행 결과는 [그림 16]과 같으며 ’File Type’ 탭에 파일에 대한 설명이 추가된다.

그림 파일 해석

Encase 의 Tools 메뉴의 ‘Options’ 설정에서 그림 파일 해석에 대한 기능을 설정할 수 있다. [그림 17]과 같이 ‘Pictures Options’ 내의 Enable Picture Viewer를 체크 하는 경우 그림파일을 해석하여 출력한다. 옵션 설정 이후 Picture 탭을 선택하는 경우 [그림 18]과 같이 확인 가능하다.

압축 파일 해석

Encase 에서는 Zip 파일이나 RAR파일과 같은 Compound 파일의 해석을 지원한다. [그림 19]와 같이 해당 항목을 선택하여 우클릭하고 Entries의 “View File Structure”를 선택하면 Compound 파일을 해석할 수 있다. 해석이 완료된 파일은 파일아이콘 우측 상단에 녹색의 플러스 기호가 생성된다. 해당 파일을 클릭하면 [그림 20]과 같이 “Evidence“ 탭이 추가되고, Compound 파일 내 파일들을 표시한다.

Hex View

[그림 21] 파일 Hex View

Encase는 모든 파일에 대하여 [그림 21]과 같이 Hex View를 지원하며 이를 통해 식별 불가능한 파일의 내용을 확인할 수 있다.

해시 정보

[그림 22] Hash Analysis 수행 결과

Process Evidence 메뉴에서 Process 수행 옵션으로 “Hash Analysis”를 설정한 경우 모든 파일에 대한 해시를 수행한다. 해시 결과는 [그림 22]와 같이 MD5, SHA-1 해시로 출력된다.

키워드 검색

Encase 에서는 “Raw Search Selected”에서 키워드 검색이 가능하다. 검색할 데이터를 체크하고 “Raw Search Selected” 메뉴에서 ‘New Raw Search Selected’를 선택 후 검색할 키워드를 추가한다. [그림 23]과 같이 검색할 데이터 타입을 체크하고 검색할 대상의 코드페이지를 설정한다. 키워드 검색 수행이 끝나면 [그림 24]와 같이 “Results”탭이 추가 되며 키워드 검색에 대한 결과를 출력한다.


항목 정렬

[그림 25] Name 분류의 오름차순 정렬

Encase 는 각각의 분류에 대하여 오름차순이나 내림차순으로 정렬 가능하다. [그림 25]는 오름차순으로 정렬한 결과이다.

시간 정보 해석

[그림 26] 생성시간, 접근시간, 작성시간, 수정시간 출력

Encase 는 [그림 26]과 같이 수집 대상 내 파일들을 지원하는 파티션 정보에 맞춰 생성시간, 접근시간, 수정시간, 작성시간 과 같은 정보를 출력시킨다. 파티션 해석이 불가능 하거나 시간정보가 없는 경우 출력 하지 않는다.

보고서 출력

Encase는 사용자의 편의를 위해 Report 기능을 지원하며 Bookmark로 설정된 항목들을 정리하여 자동으로 Report를 출력할 수 있다. 보고서에서 사용자 설정한 북마크 정보를 출력하기 위해 View 메뉴의 Bookmarks를 선택하여 Bookmarks 탭을 활성화 시킨다. 이후 [그림 27], [그림 28]과 같이 “Add Note”를 선택하여 북마크 정보를 사용할 수 있다.

폴더 내 새로운 폴더를 만들어 [그림 29]와 같이 북마크나 노트를 추가 할 수 있으며 폴더 생성 시 폴더이름과 설명을 입력하여 생성한다. 폴더는 리포트 출력 시 ‘절’의 역할을 한다.

리포트 상에 파일을 첨부하거나 상세 정보를 입력하기 위해 [그림 30]과 같이 Evidence 탭에서 출력된 항목을 선택하여 우클릭 후 Bookmarks 의 “Single item”을 선택하여 리포트에 출력 가능하다. “Single item”을 사용하였을 때 리포트 상에서 출력 되는 정보는 ‘Item Path’, ‘File Created’, ‘Last Written’, ‘Last Accessed’, ‘MD5’, ‘Comment’ 정보가 출력되며 ‘Comment’는 사용자가 입력한 값이다. 리포트의 출력은 Report 탭 선택 후 [그림 31]과 같이 우클릭하여 “Save As”출력한다. 출력 형태는 TEXT, RTF, HTML, XML, PDF 로 출력가능하다.

Mac OSX 분석

[그림 32] HFS, HFS+ 파일 시스템 해석
[그림 33] Keychain 파일 결과
[그림 34] MacOSX 아티팩트 분석 결과

Encase 에서는 Mac OSX 분석을 지원하며 HFS, HFS+ 파일 시스템을 해석한다. [그림 32]와 같이 파일시스템 특징인 트리 형태로 출력한다. 그리고 분석 시 Mac OSX 내의 Keychain 파일을 해석하는 기능이 있으며 Keychain 파일 해석을 위해 “View Structure” 기능을 사용하면 패스워드를 입력하는 다어얼로그가 생성된다. 패스워드 입력 후 Keychain을 해석하면 Evidence 탭에서 [그림 33]과 같은 결과 목록을 확인할 수 있다.

MacOSX 분석을 위한 “Macintosh OS X Artifacts Parser”는 MacOS 분석을 위해 작성된 Enscript로 Encase 포럼에서 제공한다. 제공하는 기능은 아래와 같다.

  • 운영체제 버전 정보
  • 운영체제 설치 시간 정보
  • 운영체제 업데이트 정보
    • 로그파일 파싱 후 레코드로 생성하여 접근성과 가독성을 높임
  • 소프트웨어 업데이트 정보
    • 마지막 소프트웨어 업데이트 시간
    • 마지막 실행 시간
    • 소프트웨어에서 남긴 마지막 결과 코드
  • 이동식 저장매체
    • USB로 연결된 장비 정보
  • 네트워크 연결
    • 무선랜의 MAC 주소 정보
  • 네트워크 설정 정보
    • 네트워크 카드
    • HOST 및 컴퓨터 이름 정보
    • 동작중인 네트워크 서비스 정보
    • 네트워크 설정
    • 무선랜 설정
    • 인터넷 공유 설정
    • 방화벽 설정
  • Timezone 설정
  • 마지막 사용자 정보 및 자동 로그인 설정 정보
  • 삭제된 사용자 정보
  • 휴지통 정보
    • 삭제 후 복원한 데이터 정보
    • 데이터 삭제 시간 정보
  • iOS 장치 정보
  • 운영 체제
    • OS X 설치 기록 정보
    • OS X 시스템 정보
  • 소프트웨어 사용 정보 및 & 자동실행 정보
    • OS X 에서 최근 사용한 앱 정보

Registry 분석

[그림 35] 레지스트리 분석 결과

“Sweep Enterprise“ Enscript를 사용하여 시스템 정보를 획득 할 수 있다. 이 스크립트는 네트워크 정보나 외부 장치 연결 정보 등과 같은 레지스트리에 기록된 정보를 분석하여 출력한다. 사용자가 직접 분석 시 레지스트리 하이브 파일을 우클릭하여 Entries의 “View File Structure” 기능을 통해 분석할 수 있다. 또한 미할당영역과 삭제된 영역을 검색할 수 있으며 결과는 [그림 35]와 같다.



삭제된 파일 카빙

[그림 36] 파일 카빙 기능 설정

Encase는 Process 기능을 통해 파일 카빙을 지원한다. 해당 기능은 ‘Process Evidence‘에서 Modules 아래의 “File Carver” 기능을 통해 사용 가능하다. 설정은 [그림 36]과 같이 복구를 원하는 파일 형식을 선택하여 복구할 수 있다.



이벤트 로그 분석

[그림 37] 이벤트 로그 분석 설정

Encase는 Process 기능에서 ‘Event Log’ 파일을 분석할 수 있다. 해당 기능은 Process Evidence에서 Modules 아래에 “Windows Event Log Parser” 기능을 통해 사용 가능하다. 설정은 [그림 37]과 같이 분석을 원하는 항목을 선택하여 분석한다.



제한 사항

Encase는 Windows 환경에서 구동되며 Quad-core 이상 급의 프로세서와 16GB이상의 RAM을 권장사양으로 한다. 따라서 고사양의 조사관 PC가 필요하다. 지원하는 운영체제는 Windows XP, Windows Server 2003 Standard, Windows Server 2008 R2 Standard, Windows Vista, Windows 7, Windows 8, Windows Server 2012의 32비트와 64비트 환경으로 Windows OS이다.



수사 활용방안

통합 포렌식 도구로써 운영체제 설치 드라이브 및 설치 이미지, 이동식 저장 매체, 물리메모리, MacOSX 분석 까지 광범위 기능을 지원하는 도구이며 파일 복원, 추출, 리포팅 기능까지 지원한다. 따라서 디지털 포렌식 조사 시 전사적으로 사용 가능하다. 프로그램이 지원하지 않는 기능은 스크립트 프로그래밍을 통해 대응할 수 있어 확장성이 뛰어나다. 그러나 도구의 기능이 다양한 만큼 사용법도 복잡하므로 사용 전에 도구에 대한 충분한 숙련이 요구된다. 따라서 수사관의 도구 사용 역량이 숙련되어 있다면 디지털 포렌식 조사 시 현장 상황에 맞게 여러 가지 기능을 사용할 수 있어 활용도가 높을 것으로 기대한다.