인프런 커뮤니티 질문&답변

di5776님의 프로필 이미지
di5776

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

EnCase 기능 중 질문있습니다.

해결된 질문

작성

·

472

1

안녕하세요. 교수님.

교수님 강의를 잘 듣고 있습니다.

질문드립니다.

EnCase 기능중 분석을 위한 Acquire 와 Process가 있습니다.

Acquire는 이미징을 위한 E01을 생성하면서 분석을 같이 진행

Precess는 E01등의 파일을 분석하기 위한 기능

이렇게 생각하면 되는지 궁금합니다.

만약에 맞다면 Acquire의 기능중 무결성이 유지가 되는지

그 밖에 이기능의 차이점이 궁금합니다.

답변 1

1

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 di5776님!

  1. 먼저 궁금하신 Acquire 와 Process 에 대해서 설명드릴게요.

    1) Acquire : 우선 acquire는 '획득하다', '얻다' 등의 뜻으로 사본 이미지(예: e01 등)를 생성할때 쓰는 기능이며

    2) Process : 아시다시피 '처리하다' 등의 뜻을 가지고 있죠? Process는 분석하려고 하는 해당 증거(또는 사본 이미지)를 분석할때(분석옵션 설정) 쓰는 기능입니다.

두 개의 기능은 전혀 다른 기능이며, 사본이미지 생성은 Acquire / 분석은 Process 라고 생각하시면 될것같습니다!

이게 헷갈리실수 있는게, [섹션7. 디지털 포렌식툴 사용법]-[[Encase]Encase1]의 영상(17:49경)에서 말씀드린바와 같이, Encase를 전체화면으로 했을때와 화면을 조금 작게 했을때 나오는 아이콘의 크기나 이름이 약간 다르게 나옵니다. 전체화면에서는 acquire와 Process가 명확히 구분이 되어있지만, 작은 화면에서는 하나의 메뉴 안에 함께 나오는 걸 보실 수 있는데요, 하나의 메뉴 안에서도 [Process / Acquire / Acquire and Process] 등의 이름을 확인 하실 수 있습니다.

이중 acquire and Process는 우선 acquire로 사본 이미지를 생성하고, 그 사본 이미지를 바로 분석하려고 할경우 한번에 이어서 해주는 기능입니다.

acquire와 process가 둘 다 분석을 위한 기능이다라고 생각하셨던 이유가, 아마도 이 acquire and Process 버튼을 클릭하셔서 한번에 분석 옵션까지 나오는걸 보셔서 그런게 아닐까 생각이 되는데요.

정리하자면 두 개는 전혀 다른 기능으로, 하나는 사본 이미지 생성 / 다른 하나는 분석 이렇게 생각해주세요.

FTK Imager 등의 다른 프로그램에서 이미지 사본을 이미 생성하셨다면 Encase에서 Acquire 기능을 쓰실필요는 없겠죠~

 

  1. acquire 기능 중 무결성 유지 기능

    이 질문에 대해서는 제가 이해를 완전히 하지는 못해서, 기본적인 내용을 말씀을 드려야할것 같아요.

    우선 무결성이라는 것은 분석한 결과가 생성한 사본 이미지가 변조 등 훼손되지 않아서 원본과 동일함을 증명하는 거라고 간단히 말씀드릴수 있을것 같은데요.

    이 무결성을 유지하는 가장 대표적인 과정 중 하나는 '쓰기방지' 설정입니다.

    Encase의 acquire 기능을 이용해서 사본 이미지를 생성할때, acquire 기능은 단순히 사본 이미지를 만드는 과정일 뿐이고, 이 acquire 기능을 이용해서 사본 이미지를 생성한다고 해서 무결성이 지켜지는 별도의 뭔가가 있는건 아닙니다.

    사본 이미지 생성시에는 Encase든 FTK Imager든, 어떤 프로그램을 사용하시는지와 상관없이

    우리가 무결성 유지를 위해서 지켜야하는 것들(동영상 촬영, 쓰기방지, 후에 원본과의 동일성 확인을 위한 hash값 산출과 이를 입회인에게 확인시켜준 후 서명날인, 모든 과정을 기록 등)이 함께 진행이 되야하는 부분이거든요.

     

    실무가 아닌 시험과 관련해서 이러한 무결성을 유지하기 위해서는

    1) 쓰기방지 설정(Encase Fastbloc SE 또는 레지스트리 수정)

    2) 윈도우즈의 USB자동실행 방지 설정

    3) Hash값 산출 후 기록

    정도가 필요할 것 같습니다.

     

    질문하신 의도를 제가 잘 이해를 못해서 다른 답변을 드린건 아닌지 싶기도 한데,

    혹시 제가 질문하신 내용을 잘못 이해 했다면 말씀해주세요~

     

     

 

di5776님의 프로필 이미지
di5776
질문자

아닙니다. 충분히 이해했습니다. 좋은 답변 감사합니다. 교수님

nstyxn님의 프로필 이미지
nstyxn
지식공유자

네~ 또 궁금하신점이 있으시면 언제든지 질문주세요~ :)

di5776님의 프로필 이미지
di5776

작성한 질문수

질문하기