Encase Series - 2 Case 관리

Encase의 가장 강력한 기능 중 하나는 다른 타입의 매체들(usb memory, hard drive, palm, network drive 등)을 함께 구성할 수 있다는 점이다.

 

이를 통해, 개개의 독립적인 검색이 아니라 각각을 하나의 단위로서 검색이 가능하다.

이러한 과정은 시간을 절약하게 해주며, 조사관이 증거의 조사에 집중할 수 있도록 해준다.

 

Encase 에서 Case 라는 것은 어떤 사건 하나를 관리하는 단위이다. 실제로 작업을 저장하면 ".Case" 파읷이 생기게 되는데 현재 상황, 검색된 결과들, 북릴크 결과들, 파일 캔 결과들이 저장되게 된다.

조사를 시작하고 매체를 획득하기 전에, Case생성 후 어떻게 접근할 것인지 고려해야 한다. 동시에 수 명의 조사관이 해당 정보를 보아야 할 필요가 있을 수 있다. 이러한 경우, 증거이미지(evidence files)은 중앙 파일 서버에 위치시키고, Case 사본 파읷들을 각 조사관들의 컴퓨터에 위치시켜야 한다(Case 파일은 한 번에 한 명 이상의 접근을 거부하기 때문이다).

Encase 에서의 모든 작업은 일단 Case 를 생성한 다음에 실행하게 된다.

 

위의 그림을 보면 먼저 Name 을 지정하는 것이 보이는데, 이것은 이 Case의 이름을 지정하는 것이다. 예를 들면, "김보안", 이런식으로 말이다. 그 다음은 분석관의 이름이다. "ccibomb", 이 두 개는 간단하다. 그리고 이제 나머지 세 개의 폴더에 대해서 궁금중을 가져야 한다. Default Export Folder, Temporary Folder, Index Folder 각각 무엇을 말하는 것일까?

 

 

 - Default Export Folder

Encase 에서 삭제된 파일을 복구하거나, 증거이미지 안에서 필요한 파일을 실제 파일로 추출하여 저장할 때, 이를 기본적으로 어디에 생성할 것인가를 지정하게 된다.

 

 - Temporary Folder

   Encase 에서 압축 파일을 보여준다거나, 어떤 내용을 임시로 보여주기 위해서 Temp 폴더로 사용하는 공간이다. 윈도우의 Temp 라고 생각하면 된다.

 

 - Index Folder

   Encase V6 부터는 문서 타입의 파일에 대해서 Index Search 를 지원한다. 예를 들어 Txt 나, 오피스 종류의 문서의 텍스트를 추출해서 이것에 대한 단어들에 인덱스를 만들고 나중에 키워드로 검색할 때, 이 인덱스에서 찾아주는 것이다.

 

위의 폴더 들이 구분되어 있는데, 사실 이 폴더들의 의미보다 더 중요한 것은, 바로 왜 이렇게 폴더들이 나뉘어져 있는가, 그리고 왜 공통적으로 지정할 수 도 있는데(기본 설정은 되어있다.) 왜 Case 생성시에 설정하게 되어있는가 라고 생각한다. 포렌식이라는 것은 원본의 훼손을 막아야 하므로, 혹시나 윈도우 임시폴더에 어떤 데이터를 저장하게 됨으로써 사용자 PC의 데이터 훼손이 되지 않도록 고려하는 것이다. 즉, 사용자가 지정한 부분에만 데이터를 쓰게 하는 것이다. 그래서 Encase 의 경우 Registry 도 전혀 쓰지 않는다.

 

 

또한 Encase Forensic 방법론에서는 조사관이 2nd Hard drive를 사용하거나, 적어도 디지털 증거로 사용하려는 부트 Hard drive와는 별도의 2nd Partition을 이용핛 것을 추천한다.

더불어, 개개의 폴더나 범죄와 관련되는 것으로 보이는 데이터만이 아니라 Hard drive 전체 또는 Partition 전체를 이미지 뜨기를 추천하는데, 이는 사건 조사시 Cross-contamination을 방지하고 조사 이후 필요한 Data가 부재를 방지하기 위함이다.