EnCase Imager

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개[편집]

  EnCase Forensic Imager는 Guidance Software에서 개발한 디스크 이미징 도구이며 Windows 운영체제 환경에서 실행 가능하다. EnCase 라이선스가 없어도 Guidance Software 홈페이지(https://www.guidancesoftware.com/products/Pages/Product-Forms/Forensic-Imager-download.aspx#)에서 무료로 다운받아 사용 가능하다.

  포터블 형태로 실행해 전체 디스크 이미징, 볼륨 이미징, 물리/프로세스 메모리 이미징, 파일이나 폴더의 논리적 이미징이 가능하다. .Ex01, .Lx01, .E01, .L01 형식으로 디스크를 이미징할 수 있으며, EnCase Imager에서 인식 가능한 이미지 형식은 .E01, .L01, .Ex01, .Lx01, .vmdk, .vhd 등이 있다. 또한 사용자가 설정한 키를 이용하여 이미지를 암호화하여 생성할 수 있으며, 디스크 와이핑 기능도 제공한다. EnCase Imager를 이용하면 이미지의 DCO(Device Configuration Overlays)와 HPA(Host Protected Areas)를 탐지할 수 있다.

사용법[편집]

EnCase Imager의 초기 실행 화면은 [그림 1]과 같다.

[그림 1] EnCase Forensic Imager 초기 화면

  일단 EnCase Imager를 실행한 후 Home 탭에 이미징 대상 분류를 선택한다. 현재 사용자 PC에 연결된 장치를 이미징하려면 ‘Add Local Device’를 클릭한다. 이 경우 Tableau Imager와 마찬가지로 이미지의 무결성 확보를 위해 반드시 ‘쓰기방지장치(Write Blocker)’를 연결해야 한다. 지원하는 쓰기방지장치로는 ‘Tableau 시리즈’, ‘FastBlock 시리즈’ 등이 있다. 이미 이미징이 완료된 증거 파일을 작업하려면 ‘Add Evidence File’을 클릭한다. 이 도구에서 지원하는 이미지 파일 형식은 .E01, .Ex01, .001, .vmdk, .L01, .Lx01, .vhd 등이 있다.

  ‘Add Local Device’를 클릭하여 이미징할 디바이스를 탐색하면 쓰기방지장치가 연결된 디바이스 목록이 뜬다. 디바이스를 선택하고 ‘마침’ 버튼을 클릭하면 하단에 [그림 2]와 같이 연결된 디바이스 정보를 보여준다. 이 때, 로컬에 쓰기방지장치를 통해 연결된 디바이스를 대상으로만 이미징 작업이 가능한 것이며, 로컬 디바이스 자체를 이미징할 수는 없다.

[그림 2] EnCase Imager – 연결된 디바이스 정보

  드라이브 명을 클릭하면 볼륨 내 파일 및 폴더를 확인할 수 있다. 좌측 트리 페인(Tree pane)에서 체크박스에 체크 후 우클릭하여 ‘Acquire – Acquire’ 또는 ‘Acquire – Create Logical Evidence File’을 선택하면 [그림 2-6-15]와 같이 이미징 작업을 위한 설정창이 뜬다.

[그림 3] EnCase Imager – 이미징 설정

  이미지 파일 정보 등을 채우고, 이미지 파일을 저장할 경로를 지정해준 다음 확인 버튼을 클릭하면 이미징 작업이 시작되고, 하단에서 진행현황을 확인할 수 있다. 파일포맷, 압축설정, 해시설정, 파일 단편화 사이즈설정 등 조금 더 세부적인 사항은 ‘Format’, ‘Advanced’ 탭에서 설정 가능하다. 이미지 파일의 암호화를 원할 시 ‘Format’ 탭에 ‘Encryption’ 버튼을 클릭하고 가장 우측에 ‘열쇠/자물쇠’ 아이콘을 클릭하여 키를 생성한다.

도구기능[편집]

  EnCase Imager의 초기화면에서 ‘Add Local Device’를 클릭한 후 ‘Local Devices’ 목록에서 ‘RAM’ 즉, 물리 메모리를 확인할 수 있다. ‘RAM’을 클릭한 후 디바이스 이미징과 동일한 방법으로 작업하여 물리 메모리 영역을 이미징할 수 있다.

  EnCase Imager는 Windows 95와 같이 FAT16 파일시스템을 사용하는 PC의 ‘DriveSpace’ 볼륨을 마운트 할 수 있다. 또한 CD/DVD와 같은 써드 파티 프로덕트도 식별하여 하나의 싱글 파일로 처리할 수 있다.

제한사항[편집]

  Windows XP 이상의 환경에서 실행 가능하며, x86(32bit), x64(64bit) 환경 상관없이 EnCase Imager를 실행할 수 있다. 단, 반드시 ‘쓰기방지장치(Write-Blocker)’가 연결되어 있어야 한다.

수사 활용 방안[편집]

  EnCase Imager는 EnCase Forensics 및 EnCase Portable 제품과 유사한 인터페이스를 제공한다. 따라서 EnCase Forensics에 숙련된 사용자라면 어렵지 않게 도구를 사용할 수 있다.

원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=EnCase_Imager&oldid=7579"