Encase Portable

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

Encase Portable은 법정에서 입증된 방식으로 중요한 데이터를 수집하고 쉽고 빠르게 분류할 수 있도록 Guidance Software에서 개발한 상용 Triage 도구로서, Windows 환경에서 실행되며, 가격은 $299이다. 최신 버전은 Encase Portable V4(2013년 11월 개발)이다. USB 포트가 있는 컴퓨터에서 포렌식적으로 정확한 데이터 수집을 수행하며, 즉시 중요한 정보에 엑세스할 수 있다. 활성/비활성 시스템을 분석하고, 문서ㆍ메일ㆍ이미지 파일 수집, 메모리 덤프, 드라이브 이미징, 인터넷 아티팩트 및 사용자 식별정보 수집 등의 기본 기능을 제공한다. 또한, 수집한 데이터 추출 및 분석 기능, 검색 및 이미지 미리보기 기능, 해시 값을 이용한 파일 식별이 가능하고, 파일의 메타데이터 및 키워드 검색 기능을 제공하며, 암호화 제품의 복호화 등도 지원한다.



사용법

[그림 1] Encase Portable 실행 화면
[그림 2] 새로운 작업 생성화면
[그림 3] 작업 모듈 옵션 선택 화면
[그림 4] System Info Parser
[그림 5] Windows Artifact Parser
[그림 6] IM Parser
[그림 7] Personal Information
[그림 8] File Processor
[그림 9] Windows Event Log Parser
[그림 10] Unix Login
[그림 11] Linux Syslog Parser
[그림 12] Snapshot
[그림 13] Acquisition
[그림 14] 압축 옵션 설정 화면
[그림 15] Default Jobs
[그림 16] Scanning 화면
[그림 17] 수집한 증거 출력 화면
[그림 18] 보고서에 포함할 표 제목 설정
[그림 19] Customize Report 화면
[그림 20] 출력된 보고서

Encase Portable을 대상 컴퓨터에 연결하고, Run Portable.exe를 클릭하면 아래 [그림 1]과 같은 창이 표시된다. EnScript 메뉴에서 Portable Management를 실행하여 Portable Management의 Select Jobs에서 New를 선택하여 새로운 작업을 생성하고, 원하는 모듈 옵션을 선택한다.생성하는 작업의 모듈은 System, Search, Log parsers, Collection의 4가지 부분으로 구성된다. System 모듈은 파일이나 시스템에 대한 정보를 수집하며, System Info Parser, Windows Artifact Parser, Encryption으로 세분화된다. System Info Parser는 유저정보, 운영 체제, 설치된 소프트웨어, 하드웨어 구성 요소, 네트워크 구성, 공유폴더 등을 포함한 대상 시스템에 대한 정보를 획득한다. Windows Artifact Parser는 링크 파일, 휴지통 파일, MFT(Master File Table) 관련 정보를 수집하고, Encryption은 대상 시스템의 각 드라이브와 볼륨의 암호화 유형을 목록화한다. Search 모듈은 특정 방법으로 파일과 시스템에 대한 정보를 검색하며, IM Parser, Personal Information, Internet Artifacts, File Processor로 구성된다. IM Parser는 AOL, MSN 및 Yahoo 등 메신저 정보를 가져온다 Personal Information은 주민번호, 카드번호, 전화번호 등 개인정보가 포함된 파일 정보를 수집한다. Internet Artifacts는 대상 시스템에서 History, Cache, Cookies, Bookmarks, Download Files 등 인터넷 관련 정보를 획득하여 분석한다. File Processor는 메타데이터, 키워드, 해시, 그림의 4가지 파일 프로세싱 유형 중에서 하나를 선택하여 파일을 수집할 수 있다. Log Parser 모듈은 Windows Event Log Parser, Unix Login, Linux Syslog Parser로 구성되어 있다. Windows Event Log Parser는 시스템 로그, 보안 로그 등 윈도우 로그 정보를 수집하고 분석한다. Unix Login은 모든 로그 활동이 기록된 유닉스 시스템의 WTMP와 UTMP 파일을 분석한다. Linux Syslog Parser는 애플의 매킨토시와 리눅스 기계들의 리눅스 시스템의 로그 파일과 시스템 메시지를 수집하여 분석한다. Collection 모듈은 Snapshot, Acquisition, Screen Capture로 구성된다. Snapshot은 시스템의 정보를 캡쳐하며, 동작중인 프로세서, 오픈 포트, 로그인된 유저, 디바이스 드라이브, 윈도우 서비스, 네트워크 인터페이스 등의 정보를 가져온다. Acquisition은 대상 컴퓨터의 드라이브 및 메모리의 이미지를 획득한다. 논리적ㆍ물리적 장치, 이동식 드라이브, 메모리 이미지를 얻을 수 있고, 작업이 실행되는 동안의 모든 장치 목록을 표시할 수 있다. Screen Capture는 실행중인 컴퓨터의 열려있는 각 창의 이미지를 논리적 증거 파일에 저장한다. 모듈 설정을 완료하면 [그림 14]과 같이 Compound file이 있을 때 세부 내용까지 분석할 것인지를 결정하는 압축 옵션을 설정한다. Do not mount는 압축을 해제하지 않고 진행하는 것이고, Mount-detect extension은 확장자만 확인한 후 마운트 하는 것이고, Mount-detect signature는 시그너처 분석으로 압축파일을 찾고 마운트 하는 것이다. mount를 선택하게 되면 하단에 mount recursively가 활성화 되며, Mount recursively를 체크하면 압축 파일 내에서 또 다른 압축 파일을 찾는다. 모듈 설정이 완료되면, 증거 데이터를 저장할 저장매체를 선택하여 새로운 작업 생성을 완료한다. 또한, Encase Portable에서는 아래와 같이 기본적인 Job을 제공하여 수사관이 원하는 정보를 수집할 수 있게 하고 있다. Default Jobs은 Collect Document Files, Collect Mail Files, Collect Picture Files, Create Copy of Drive or Memory, Create Internet Atifacts Report, Triage or Create PII Report, Triage Pictures 등으로 구성되어 있다. Collect Document Files는 EnCase에서 Document(문서)라고 하는 카테고리의 파일을 모두 수집하고, Collect Mail Files은 Mail 카테고리의 파일, Collect Picture Files은 Picture 카테고리의 파일을 모두 수집한다. Create Copy of Drive or Memory는 물리메모리나 저장 장치의 이미지를 만들고, Create Internet Atifacts Report는 인터넷 히스토리, 북마크, 쿠키, 캐시파일, 다운로드 데이터를 찾고 리포팅한다. Triage or Create PII Report는 주민번호, 카드번호, 전화번호 등의 개인정보를 수집하며, 별도로 정의를 할 수 있다. Triage Pictures는 전체 이미지파일을 Preview할 수 있게 해준다. 또한 Preview내용에서 선택한 이미지 파일을 LEF로 만들 수도 있다. 실행할 작업을 선택하거나 새로운 작업을 생성한 후, Home 탭으로 이동하여 원하는 작업을 클릭하면 설정한 옵션에 따라 대상 컴퓨터를 스캔한다. 다음 [그림 16]은 Scanning 화면이다. Status 탭에서 Module Status 영역을 선택하면 세부 수집 내용을 확인할 수 있는데, File Processor 모듈에서 메타데이터를 선택하면 생성시간, 파일이름, 경로, 크기 등과 같은 메타데이터 부분을 확인할 수 있다. 그림을 선택하면 해당 그림의 미리보기가 가능하다. 해시를 선택하면 해시 라이브러리의 해시값과 일치되는 모든 문서가 표시되며, 키워드 검색을 선택할 경우 해당 키워드에 따라 분류된 파일들을 확인할 수 있다. 스캔이 완료되면, Home 탭에서 Analysis 또는 Advanced analysis를 클릭하여 수집한 증거를 출력한다. 출력화면은 분석 쿼리 선택 화면으로 표시된다. 좌측 창에서 폴더 아이콘을 더블 클릭한 후, 세부 항목을 선택하면 우측 창에 선택한 항목의 세부 내용이 표시된다. 우측 창에 표시된 항목 중에서 보고서에 포함할 항목을 선택한 후, Save Selected 메뉴를 클릭하면 보고서에 포함된 표 제목을 세팅하는 창이 표시된다. OK를 클릭하여 해당 제목을 보고서에 포함한다. 보고서에 포함시킬 항목을 모두 선택하였다면 오른쪽 창 상단에 있는 Manage Saved Reports 탭을 클릭한다. [그림 19]과 같이 활성화된 Customize Report 창에서 최종적으로 항목을 확인하고 상단에 있는 View Report를 클릭한다. [그림 20]는 출력된 보고서이다. 보고서를 저장하려면 마우스 오른쪽를 클릭하여 TEXT, FTF, HTML, XML, PDF 중에서 파일 포맷을 정한 후 저장할 수 있다.



도구 기능

EnCase Portable에서 수집 가능한 세부 항목은 다음과 같다.


[표 1] EnCase Portable 기능
구 분 세부 항목
Acquisition logicalㆍphysicalㆍ이동식 드라이브, 메모리,
Acquisition Configuration segment file 및 블록 크기 설정, 압축과 error granularity 선택, MD5 및 SHA1 표시
Snapshot Information 현재 실행되는 실행 파일의 해시값을 계산, 운영체제에서 숨겨진 프로세스 식별, 현재 로드된 DLL 목록 수집, 현재 로그온 한 사용자 정보 수집, 어떤 네트워크 인터페이스의 MAC 주소가 변경되었는지 탐지
Internet History 웹사이트 방문 history 수집, 사용자 캐시와 bookmarks 수집, 쿠키와 다운로드 파일 정보 수집
Instant Messages AOL, MSN, YAHOO의 인스턴트 메신저 정보 수집
System Information 유저정보, 운영 체제, 설치된 소프트웨어, 하드웨어 구성 요소, 네트워크 구성, 공유폴더 등을 포함한 대상 시스템에 대한 정보를 획득
Linux System Logs 리눅스 시스템의 로그파일, 시스템 메시지 수집
Windows Artifacts 링크파일, MFT 관련 정보, 휴지통 정보 등의 윈도우 관련 정보 수집
Unix Login 유닉스 시스템 로그인 정보 수집
Windows Event Logs 시스템로그, 보안 로그 등의 윈도우 로그정보 수집



제한사항

windows 환경에서 실행되며, 대상 컴퓨터 Scanning시 진행율이 표시되지 않아 정확한 작업시간 예측이 어려워 제한된 시간 안에 증거를 수집해야하는 현장에서 효율적인 시간 활용이 제약될 수 있다.


수사 활용 방안

EnCase Portable은 사전에 관리자 컴퓨터에서 수집 항목을 선택하여 별도의 Triage Key를 생성해야 하는 Triage-Examiner나 AD Triage와 달리, 수사관이 대상 컴퓨터에 동글을 연결한 후, 대상 컴퓨터에서 직접 원하는 항목을 선택하여 Scan할 수 있으며, 위의 도구들에 비해 세부 수집 항목 설정이 간편하게 구성되어 있어 도구 사용이 편리하다. 하지만 작업 진행율이 표시되지 않아 시간 예측이 어려운 것은 단점이라 할 수 있다.