본문 바로가기

일상/나만의노트

인케이스로 케이스 분석하기

분석가는 이미지를 인케이스의 분석 도구, 검색 그리고 엔스크립트 등을 이용해 빠르게 분석할 수 있고 북마크 기능으로 필요한 부분만 정리해 레포트를 생성할 수 있다.


우선 인케이스의 기능이 무엇이 있는지 알고 버전7에서 더욱 강력해진 인덱스 기능을 이용해 원하는 데이터를 어떻게 찾을 수 있는지에 대해 설명할 것이다. 이후 인덱스한 결과를 북마크기능을 통해 정리하고 그 결과를 레포트기능을 통해 문서화할 것이다.

 

인케이스는 크게 Tree, Table, View 3개의 창으로 구성되어 있다. 보통 Tree에서 폴더를 선택하고 Table에서 파일을 선택한 뒤 View에서 원하는 포맷으로 그 내용을 조사하게 된다. 일반적으로 케이스를 생성하고 증거파일을 입력하면 Evidence 창에서 조사가 시작되므로 여기서부터 설명을 시작한다. 


Tree창부터 천천히 살펴보면 증거파일은 이미지 파일과 라이브 물리 장치를 선택할 수 있는데, 라이브 물리 장치일 경우 Tree창에 이를 표시하는 조그만 파란색 삼각형이 드라이브 아이콘의 오른쪽 아래에 생긴다. 자세히 보면 빈 삼각형, 검은색 삼각형, 홈플레이 상자 그리고 사각형 상자가 아이콘 옆에 보인다. 빈 삼각형은 폴더 하위에 다른 엔트리가 존재함을 의미한다. 사용자가 그 폴더의 하위목록을 보기 위해 빈삼각형을 클릭하면 빈삼각형은 검은색삼각형으로 변한다. 폴더 내에 있는 폴더 및 파일 목록을 보고싶으면 홈플레이트 상자를 선택하면 된다. 폴더 하위에 존재하는 모든 파일들을 선택해 작업하고 싶으면 네모난 상자를 클릭한다. 이때 조심해야할 것은 내가 선택한 파일들의 개수가 맞는가 확인하는 것이다. 잘못 체크했다간 엄청난 파일들을 작업할 수 있으므로 꼭 Dixon box를 통해 선택한 파일의 개수를 확인하자. 하위 트리까지 열심히 쫒아갔지만 원하는 결과를 못 찾을 수도 있다. 이러면 트리를 다시 접어야 하는데 손목 터널증후군 걸릴 때 까지 트리를 접지말고 마우스 우클릭의 Collapse All 기능으로 트리를 접자. 물론 그 반대의 기능도 존재한다. 


Table창을 살펴보면 Tree에서 선택한 폴더 내의 파일 및 폴더 목록이 리스트화 된다. 각 칼럼은 그 값을 보여주기 위한 적절한 너비가 있을 텐데, 만약 값이 너무 길어 보이지 않으면 마우스를 가까이 가져가면 그 내용이 플롯팅된다. 아니면 칼럼의 열너비를 마우스로 컨트롤하자. 파일이 선택되면 창의 맨 아래의 GPS에 그 경로가 표시된다. 경로 오른쪽에는 영어2글자와 숫자가 보이는데 이는 물리적 섹터, 논리적 섹터, 논리적 클러스터번호, 섹터의 시작 오프셋, 파일의 시작오프셋, 하이라이트 방식으로 선택된 길이 등을 의미한다. Table의 유용한 기능 중 하나는 lock 기능이다. 스크롤을 오른쪽으로 밀더라도 계속 고정하고 싶은 열이 있을 경우, 마우스 오른쪽을 클릭한 후 메뉴에서 lock를 선택하면 된다. 그러면 선택한 열이 왼쪽으로 가게 되고 고정된 열의 마지막에는 검은색 굵은 줄이 생기게 된다. 주로 Name과 Tag를 고정시킨다. 각 열에 대한 설명은 EnCE책 374페이지를 보면 표로 자세히 설명되어 있다. 그 중 한번쯤은 읽어 봤어야 할 항목들을 몇 개 설명하면 is Deleted는 파일의 삭제 여부를 표시한다. File Deleted는 항목이 윈도우 휴지통의 INFO2 데이터베이스에 따라 파일이 삭제된 날짜/시간을 표시한다. Original Path항목은 정상 파일은 비어있다. 다만 파일이 삭제되고 덮어 쓰여졌으면 이 값은 원래 파일을 덮어쓴 파일을 표시하고 파일이 휴지통에 있으면 삭제될 당시의 원래 위치를 표시한다. Hash Set은 해쉬 라이브러리에 있는 해쉬 값과 동일할 시 표시된다.  


 View창은 테이블 창에서 선택한 파일의 상세한 분석을 지원한다. 문서, 그림, 글, 헥사 등을 원하는 포맷으로 시각화한다. View 창의 Field탭은 테이블 탭에 있는 메타데이터 값을 세로로 보여준다. Report 탭은 선택한 대상의 속성에 대한 세부보고서이다. 보고서를 마우스 오른쪽 버튼을 클릭해 웹페이지나 문서로 추출할 수 있다. Text 탭은 말 그대로 파일의 문자열을 보여주고 적절한 디코딩(한글, 유니코드 등)과 검색기능을 제공한다. Hex탭은 우리가 흔히 사용하는 헥사뷰어와 동일하다. 디코드 뷰는 타임스탬프, HTML, 그림, 파티션 정보 등 해당 내용을 적절한 구조로 변환하여 보여준다. DOC는 주로 MS오피스 파일을 뷰어로 바로 보여준다.  Transcript 뷰는 파일에서 메타데이터를 빼고 텍스트 문자열만 뽑아서 보여준다. 엑셀파일이나 워드 파일, 웹페이지 파일에서 문자열만 보고 싶을 경우 이 뷰 기능을 사용하면 된다. Picture 뷰는 말그대로 사진을 보여주는 기능이다. Console뷰는 보통 비어있으나 인스크립트를 돌릴때 그 결과를 보기 위해 사용한다. 








'일상 > 나만의노트' 카테고리의 다른 글

git 기본 명령어 그림 한장으로 요약  (0) 2020.02.25
악성코드 동적분석 도구  (0) 2016.05.12