Encase Imager

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개[편집]

EnCase Imager는 Guidance Software에서 개발한 디스크 이미징 도구이며 Windows 운영체제 환경에서 실행 가능하다. EnCase 라이선스가 없어도 Guidance Software 홈페이지(https://www.guidancesoftware.com/products/Pages/Product-Forms/Forensic-Imager-download.aspx#) 에서 무료로 다운받아 사용 가능하다. 포터블 형태로 실행해 전체 디스크 이미징, 볼륨 이미징, 물리/프로세스 메모리 이미징, 파일이나 폴더의 논리적 이미징이 가능하다. .Ex01, .Lx01, .E01, .L01 형식으로 디스크를 이미징할 수 있으며, EnCase Imager에서 인식 가능한 이미지 형식은 .E01, .L01, .Ex01, .Lx01, .vmdk, .vhd 등이 있다. 또한 사용자가 설정한 키를 이용하여 이미지를 암호화하여 생성할 수 있으며, 디스크 와이핑 기능도 제공한다. EnCase Imager를 이용하면 이미지의 DCO(Device Configuration Overlays)와 HPA(Host Protected Areas)를 탐지할 수 있다.

사용법[편집]

[그림 1]은 Encase Imager 항목 중 Add Evidence의 실행화면이다.



[그림 1] Encase Imager의 Add Evidence



메모리 이미징을 하기 위해서 첫 번째 항목인 “Add Local Device”를 선택한다. [그림 2]는 “Add Local Device”를 선택한 뒤 나타나는 팝업창이다.



[그림 2] Encase Imager의 Add Local Device



물리 메모리 전체를 획득하기 위해서 “Enable Physical Memory”에 프로세스의 메모리 영역을 획득하기 위해서는 “Enable Process Memory”에 선택적으로 체크한 뒤 “다음” 버튼을 클릭한다. [그림 3]은 물리 메모리나 프로세스 메모리 영역을 체크한 뒤 나타나는 팝업창이다.



[그림 3] Encase Imager의 Local Device 선택



물리 메모리 전체를 이미징하기 위해서는 “RAM”을 체크하고 프로세스를 덤프하기 위해서는 해당 프로세스를 체크한 뒤 마침을 누른다. [그림 4]는 물리 메모리를 선택하고 “마침” 버튼을 클릭한 뒤의 화면이다.



[그림 4] Encase Imager의 Evidence



8개의 컬럼 중 Name컬럼에 있는 “RAM”항목을 더블 클릭하여 [그림 5]의 화면으로 이동한다.



[그림 5] Encase Imager의 RAM 엔트리



내부 창 중 우측 Table탭의 RAM항목을 우클릭하여 “Acquire”를 선택한다. [그림 6]은 “Acquire”를 선택한 뒤 나타나는 팝업창이다.



[그림 6] Encase Imager의 Acquire Device



Acquire Device 창은 Location, Format, Advanced의 탭으로 구성되어 있다. Location탭은 파일명, 증거 번호, 케이스 번호, 증거 이름을 기입할 수 있으며 “Notes”항목에서 간단한 메모도 할 수 있다. “Restart Acquisition” 체크박스는 메모리 획득 중 취소하거나 프로그램의 연결이 끊겼을 때 이어서 획득할지를 선택할 수 있다. 단, 획득 중 에러가 생겼을 경우에는 이어서 획득이 불가능하다. “Output Path”에서 획득할 파일이 저장될 위치를 지정할 수 있으며 “Alternate Path”는 메모리 이미지 획득 중 파티션의 용량이 부족할 때 다른 파티션 경로를 지정하여 획득을 계속할 수 있도록 하는 파일 경로이다. [그림 7]은 Acquire Device의 Format 탭을 나타낸 그림이다.



[그림 7] Acquire Device의 Format 탭



Format 탭에서 증거 파일 포맷으로 Ex01이나 패스워드를 지정할 수 있는 E01 파일 포맷을 선택할 수 있으며 압축유무도 선택할 수 있다. “Verification Hash” 항목에서는 MD5, SHA-1 혹은 두가지 해시 타입 모두를 선택할 수 있다. “File Segment Size”는 파일이 저장될 때 지정된 크기로 나누어 저장하게 된다. [그림 8]은 Acquire Device의 Advanced 탭을 나타낸 그림이다.



[그림 8] Acquire Device의 Advanced 탭



Advanced 탭에서 블록 사이즈, 시작 섹터 번호와 종료 섹터 번호를 설정 할 수 있다. 에러검증 방법은 Standard와 Exhaustive방식이 있으며 Standard는 오류 발생 시 블록 전체가 영향을 받고 Exhaustive는 오류난 섹터만 영향을 받는다.

도구기능[편집]

Encase Imager를 이용하여 메모리 이미징 시 디폴트 옵션으로 파일의 포맷은 Ex01 포맷으로 압축되어 저장되고 검증 해시 알고리즘은 MD5, 에러검증 방법은 Exhaustive로 적용되어 이미징된다. 이미징 진행 상태는 하단의 상태표시줄의 우측에서 확인할 수 있다. 이미징 결과 파일을 Encase Imager의 “Add Evidence File” 기능을 이용하거나 FTK Imager 등의 도구로 마운트하여 확인할 수 있다.

제한사항[편집]

64-bit 시스템에서 각 프로세스의 가상 메모리 영역의 크기가 8TB 이므로 프로세스의 메모리 영역을 이미징하는 것은 시간이 오래 소요되고 많은 디스크 용량이 필요하다. 32-bit 시스템에서는 각 프로세스의 가상 메모리 영역의 크기가 2GB이며 상황에 따라 물리메모리 전체를 이미징할지 프로세스 영역만 이미징할지 선택해야 한다. FTK Imager의 설치 파일이 x86, x64로 구분되어 있기 때문에 시스템을 확인하여 올바른 설치 파일로 설치해야 한다. 또한, GUI 프로그램이므로 메모리 사용량이 매우 커 메모리 무결성에 많은 훼손이 있다.

수사 활용 방안[편집]

Encase Imager는 메모리 이미지 획득 후 압축 및 검증과정이 있어 파일을 휴대하기가 용이하다. 메모리 이미징 결과 파일 포맷이 Ex01, E01이므로 다른 도구에 마운트하여 확인할 수 있다. Encase Imager를 이용하여 디스크 등의 다른 장치의 이미지와 메모리의 이미지가 필요할 경우 사용하면 추가적인 메모리 손실이 적어 수사에 활용할 수 있다.

원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=Encase_Imager&oldid=6122"