Encase Series - 5 Encase Concepts

0. 증거 이미지 (Evidence File)
Encase 방법론의 가장 중요한 요소는 바로 증거 이미지 (Evidence file)이다. 이 파일은 세 가지 기본 요소(헤더, 체크섬, 데이터 블록)로 구성되는데, 이들은 분석시 컴퓨터 디스크의 상태를 Self-checking하여 제공한다.

1. CRC (Cyclical Redundancy Check)
CRC는 체크섬과 매우 비슷한 방식으로 동작하는데, 체크섬과 달리 Order-sensitive 특성을 지닌다. 즉, 문자열 "1234"와 "4321"은 같은 체크섬을 갖지만, 서로 다른 CRC를 가진다. 대부분의 Hard drive는 각 섹터마다 하나의 CRC를 저장한다. 디스크에서 Read 에러가 발생하였다는 것은 디스크 섹터의 CRC와 해당 섹터가 읽어진 후 drive hardware에 의해 재계산된 값이 서로 일치하지 않음을 의미한다.

2. 증거이미지 포맷 (Evidence File Format)
각각의 파일은 정확하게 섹터 대 섹터 사본이다. 파일이 생성될 때, 사용자는 조사와 관렦된 정보를 제공하게 된다. Encase는 이러한 정보 및 증거이미지 안에 있는 다른 정보들을 아카이브에 넣는다. 각 파일은 Data block마다 32-bit CRC를 이용하여 인증받음으로써, 조사관은 법정에 해당 증거를 제출할 수 있다.

Encase는 디스크 이미지 전체에 대한 CRC 값이 아닌, 개개의 블록마다 CRC를 계산하여 그 무결성과 속도를 높인다. 어느 파일이나 어느 섹터에서 에러가 발생하였는지 그 위치 확인도 가능하다.

또한, Encase는 Physical drive나 Logical drive 의 이미지 생성시, MD5 해쉬값을 계산하여 증거이미지에 그 일부로서 기록한다. 증거이미지를 Case 파일에 추가할 경우, CRC 값과 Hash 값을 통해 변경여부를 확인한다.

 

3. 압축 (Compression)
Encase는 압축기술로 데이터를 상대적으로 작은 크기로 저장한다. 평균 50%의 압축률을 보이는 산업표준 알고리즘을 이용하며, 디스크의 대부분이 Text인 경우, 그 압축 비율을 보다 높아진다. 그러나 JPG 파일과 같이 이미 압축된 파일들이 많은 경우에는 그 효율이 낮다. 압축을 위한 시간이 더 소모되긴 하지만, 압축과정은 증거이미지에 전혀 영향을 끼치지 않으며, 압축 블록은 비압축 블록과 동일한 과정으로 검증된다. 즉, 서로의 Hash Value는 동일한 값을 가진다.

4. Case 파일
Case 파일은 하나의 Case에 대한 구체적인 정보(하나 또는 그 이상의 증거이미지에 대한 포인터, 북마크, 검색 결과, 정렬, 해쉬 분석 결과, Signature 분석 결과 등)를 포함한다. Encase를 통해 증거이미지를 분석하기 위해서는 그 이전에 Case 파일이 생성되어야 한다.

5. Case 백업 파일
백업 파일은 Encase가 설치된 폴더의 Backup이라는 하위폴더 내에 자동으로 기본 10분마다 저장되며, .CBAK 이라는 확장자를 지닌다. .CASE 파일에 에러가 발생핚 경우, .CBAK 파일이 열릴 수 있으며, .CBAK 파일을 .CASE 파일로 바꿀 수 있다.

6. 환경 설정 파일
Encase 환경설정 파일은 일련의 초기화 파일(.INI)들이라고 할 수 있다. Signature 테이블, 파일 유형, 파일 viewer, 필터, Global Keyword 등 Global setting 정보들은 모든 Case와 모든 증거이미지에 적용된다. 일반적으로 Encase 설치 폴더의 Config라는 하위폴더에 위치한다.