무민이의 반반무많이

원격 이미지 추출 본문

Forensic/EnCase

원격 이미지 추출

M00min 2016.11.05 23:53

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


조사관 PC에서 생성한 Agent를 통해 원격으로 이미지를 추출할 수 있다.


1. IDPW를 만들어서 UserEnCase에 등록하기 위해, Home에서 ViewGenerate Encryption Key를 클릭한다.


2. 다음(N) 버튼을 클릭한다.


3. 이름과 비밀번호를 입력하고, 마침 버튼을 클릭한다. (Public Key, Private Key 생성)


4. 초기에 표시되는 기본 경로에서 저장 버튼을 클릭한다.


5. 상단 메뉴의 Tools – Create Direct Sevlet…을 클릭한다.


6. 생성한 계정을 선택하고다음(N) 버튼을 클릭한다.


7. Windows, Windows의 Drop installer를 체크하고경로를 지정한 후 마침 버튼을 클릭한다. (경로를 C로 놓을 경우자신의 Windows 폴더를 덮어 쓸 수도 있으므로 반드시 C가 아닌 다른 경로에 지정해야 한다.)


8. 위에서 지정한 경로에 windows 폴더가 생성되었고해당 폴더 안에 installer와 servlet 폴더가 존재하는 것을 확인할 수 있다.


9. 8번에서 생성된 windows\installer의 setup.exe 파일을 복사해서이미지를 추출하고자 하는 OS(이하 XP)붙여넣는다.


10. XP cmd 창에서 netstat –an을 입력하여 4445 포트를 확인한다. 4445 포트가 연결되어있지 않음을 확인할 수 있다.


11. XP작업관리자의 프로세스 탭에서 enstart.exe가 실행 중인지 확인한다현재 enstart.exe가 실행 중이지 않음을 확인할 수 있다.


12. XP에서 setup.exe 파일을 실행하고, 10번과 11번의 과정을 반복한다확인결과 4445 포트가 연결되었고, enstart.exe가 실행 중임을 확인할 수 있다.


13. EnCase에서 Case를 생성 또는 열고, Add Evidence를 클릭한다.


14. Add Network Preview를 클릭한다.



15. 원격 포렌식 기능인 Add Direct Network Preview를 클릭한다.


16. 이전에 만들어놓은 계정을 선택하고, Password를 입력한 후 다음(N) 버튼을 클릭한다.


17. 위의 2개 중 필요한 것을 체크하고, XP의 IP를 입력한 후 다음(N) 버튼을 클릭한다.


18. Processes 폴더를 보면, XP에서 실행중인 enstart.exe를 제외한 모든 프로세스 목록이 보이는 것을 확인할 수 있다.(enstart.exe는 자기 자신이므로 가져오지 않음) 0번 물리 디스크를 선택하고마침 버튼을 클릭한다.


19. 마찬가지로 물리 시스템 내용을 다 가져온 것을 확인할 수 있다.


20. C드라이브 마우스 우클릭 – Acquire – Acquire...를 클릭한다. (서버 부하가 있으므로 사용중인 사용자 수가 적은 새벽 시간대에 하는 것이 좋다.)


21. Location 에서 Name, Evidence Number, Case Number, Examiner Name, Output Path 등을 입력한다.


22. Format 에서 File Segment Size(MB)에 분할할 크기를 입력한 후 확인 버튼을 클릭한다.


23. 원격에서 추출한 이미지 파일이 자신의 로컬 PC에 정상적으로 저장된 것을 확인할 수 있다.

'Forensic > EnCase' 카테고리의 다른 글

FAU 사용법  (0) 2016.11.07
Helix 사용법  (0) 2016.11.06
원격 이미지 추출  (0) 2016.11.05
쓰기 방지 설정  (0) 2016.11.04
Local Image(로컬 이미지) 추출  (0) 2016.10.29
Case 생성 및 증거 추가  (0) 2016.10.27
0 Comments
댓글쓰기 폼