공장장과 함께하는 디지털 포렌식 이야기

IM Solo 4가 ICS 홈페이지에 업데이트되었습니다.

이전다음

0123

.: Extreme Speed: Captures, authenticates and sanitizes at full UDMA-6 Speed (exceeding 7GB/m*) * With Newest, Fastest SAS Drives

.: Multiple "Suspect" Side Connections: 2 SATA/SAS connections and 1 USB 2.0 connection. Unit features built-in support for imaging of a RAID drive pair (0,1,JBOD).
Optional Drive Adapters will allow imaging of IDE drives, 1.8", 2.5" ZIF, and proprietary interface/Laptop drives, and Micro Media Cards including Compact Flash, Memory Sticks, SD, Micro SD, MultiMedia cards, etc.
Cross Copy support allows user to image any "Suspect" Drive interface to any "Evidence" Drive Interface.
All "Suspect" Drive connections are permanently write-protected at all times to prevent changing of "Suspect" Data (cannot be disabled)

.: Multiple "Evidence" Side Connections: 2 SATA/SAS connections and 2 USB 2.0 connections. Optional Drive Adapters will allow imaging to many other drive formats including external RAID devices.

.: Multiple Operational Modes: Captures "Suspect" drives to one "Evidence" Drive (Single Copy Mode), Captures "Suspect" drive to two "Evidence" drives (Multi Copy Mode), Captures two "Suspect" Drives to two "Evidence Drives (Parallel Copy), Drive Wiping and Sanitization, Drive Hashing (SHA-1, SHA-256), Captures "Suspect" Data from Networked Storage and any attached Network Share. All processes are done simultaneously with no speed degradation.

.: Multiple Imaging Formats: 100% Copy (bit-by-bit), Linux DD images (industry standard) on a single "Evidence" Hard Drive or USB storage device. User can define the seize of the Linux DD segments. IQ Copy, captures the actual "data only" greatly reducing the time needed to make a non-forensic copy. Support of E01 files coming soon.

.: 'On the fly" Drive Image Encryption: Built-in DiskCypher technology allows the full encryption (AES 256) of Forensic Images. The process is done without speed degradation during the acquisition process.

.: Windows XP Operating System: Solo-4 runs on the highly stable and proven Windows XP Operating System. Unit can be customizable for individual organization needs upon request.

.: Drive Spanning: Solo-4 allows for the imaging from one large "Suspect" Drive to multiple smaller "Evidence" Drives.

.: Linux DD Restore: Restore a previously captured DD Image to a fully bootable 100% working copy.

.: Drive Wiping: Supports single pass or full DoD Sanitization.

.: Multiple Hash Verifications: SHA-1, SHA-256, MD-5

.: Intuitive Easy to use Interface: 8" Full Color, user friendly touch screen.

.: Captures Suspect Data from Network Storage: Solo-4 forensically captures "Suspect" Data from Networked drives and folders using 1 Gigabit Ethernet Connection.

.: Uploads "Suspect" Images to Network Storage: Solo-4 forensically uploads "Suspect" Data Images to Networked Storage Area using 1 Gigabit Ethernet Connection for the purpose of processing and archiving forensic images.

.: Preview "Suspect" Data directly on the unit: Preview active files on the "Suspect" Drive utilizing a built-in file viewer.

.: Drive Lock Functionality for use with a Forensic WorkStation: Utilizing the "Suspect" "always on" write protection, Solo-4 can be used attached to a Forensic Work Station via USB connection to allow the preview, capture or analysis of "Suspect" Data in a safe environment.

.: USB Card Reader Support: Supports Micro Media Formats (Compact Flash, memory sticks, SD, Micro SD, etc.) expanding the option of types of "suspect" Media that can be captured.

너무 좋아보이는데요... Isn't it too good to be true yet?

Forensic Focus를 보니

Logicube 와 더불어 대표적인 이미지 복제 장치 제작 회사인 ICS 에서 이동형 복제기 신제품이 나온다고 합니다.

이동형 복제 장치인 Image MASSter™ Solo-4 는 SAS, SATA, IDE, RAID, USB 및 e-SATA drives 와 함께 다양한  Media cards 들에 대한 사본, DD 및 EnCase E01 이미지 생성도 가능하다고 합니다. E01 기능은 Logicube Forensic Dossier 에서만 가능했던 기능인데 상당히 빨리 따라잡는군요.

특이한 점은 1Gb Ethernet port 도 포함되어서 Network 을 통한 사본 생성도 가능할 것 같습니다. 자세한 내용은 역시 제품이 나와봐야 알 듯 합니다.

그밖에 Drive spanning 이라던가 DoD WIPE 기능 등은 특별한게 없지만 Color LCD 지원은 또 색다르네요. 이러다 AM OLED 지원까지 하려는지...

기대가 되는 제품입니다만 속도에 대한 언급이 없는 걸로 봐서는 기존의 최고 분당 4GB 수준에 머무르지 않을까 하네요.


SOLO 3 IT 와 외관은 어떻게 달라질지도 기대해 봅니다.

EnCase Portable 구성품입니다.

윗줄 왼쪽부터

제품 Pouch, 간략 설명서(Brief Manual), 부팅 CD (Booting Disc), 설치 DVD (Installation Disc), USB 동글 (HASP Key), EnCase Portable Program USB (4GB), EnCase Portable Evidence Storage USB (16GB), 4 port USB 2.0 Hub

입니다.

USB 는 우레탄 처리가 되어 어느정도의 충격에도 견딜 것 같은 느낌을 줍니다.

EnCase Portable 은 조사 방법이 두가지 입니다.

1. 활성 시스템으로부터의 증거 수집 ; 메모리 덤프를 뜨거나, FDE 등이 적용된 디스크를 조사할 때 사용됩니다.

2. 비활성 시스템으로부터의 증거 수집 ; 포렌식적으로 "안전"한 증거를 수집할 수 있습니다.

BIOS에서 USB 부팅을 지원하지 않는다면 CD를 이용해서 부팅할 수 있습니다. 이 경우에도 Program USB는 필요합니다.

따라서, 조사 대상은 최소 2개 이상의 USB 포트를 가지고 있어야 합니다.

부팅은 Windows PE 환경에서 작업이 이루어집니다.

활성 시스템에 Program USB를 연결하면 HASP Key 를 찾습니다. 프로그램이 종료되면 드라이버는 제거된다고 합니다.


EnCase Portable이 실행되면 아래와 같은 창이 뜨면서 언제나 처럼 Case 이름과 조사관 이름을 입력한 후 수집 작업을 선택할 수 있습니다.


나머지 사항도 곧...

EnCase Portable 1.1

H/W 솔루션이라고 해야하나 모르겠네요.

부팅CD or 부팅 USB를 이용하여 조사 대상 PC의 중요 데이터에 대한 디지털 증거화 작업을 해줍니다.

디지털 포렌식 전문가가 아니더라도 기초 증거 획득을 "안전"하게 해주는 툴이라고 합니다.

가격이 안드로메다 급이란게 에러. (EnCase Forensics Edition이 포함되어 있습니다.)

 EnCase 6.14.1 기반인듯 합니다..


자세한 리뷰는 곧...

좀 더 구체화된 소식이 있다기에 적어 봅니다. 

EnCase Portable Kit은 아래와 같이 구성됩니다. 

4GB USB drive with EnCase Portable preinstalled

16GB drive for additional storage

4 port USB hub

EnCase Portable security key

User guide

EnCase Portable installation CD

Carrying Case

 EnCase Portable로 부팅한 후에 아래의 정보를 수집할 수 있다고 합니다. 

Collect Internet Artifacts

Collect Windows Event Logs

ICONS

Collect all Word Documents

Collect all Images

All PST

All MPG

Collect all Archive Files

Capture Registry

Collect EXE Files

Collect all Email Archives

Collect Mail Archives

Collect TEMP Files

초기 대응 단계에서는 유용하게 쓰일 수도 있을 듯 합니다만...

나오고 써봐야 알겠죠? 구경할 기회가 있으려나 모르겠네요.

아래는 EnCase Portable 관련 Youtube 입니다. 참조하시기 바랍니다.

7월 출시 예정

출처 : http://www.gizmag.com/encase-portable/11756/

출처 : http://www.tradingmarkets.com/.site/news/Stock%20News/2332988/