공장장과 함께하는 디지털 포렌식 이야기

EnCase 6.14 버전이 출시되었습니다.

설치시 어떤 작업이 이루어지는지 보여줍니다. 보통 HASP Driver 설치에 시간이 많이 걸리곤 했죠.

Options 항목에 Code Page가 추가되었습니다.

어떤 역할을 할까요?

이제 EnCase 내부에서 RAR 파일도 Mount 해서 내용을 확인할 수 있습니다.

HPUX의 파일 시스템인 VxFS와 UFS를 지원합니다.

exFAT를 지원합니다.

그 밖에

Linen이 Multithread를 지원해서 Imaging 속도를 향상시켰다고 합니다. 해봐야 알듯합니다.

Firefox 3 분석을 제대로 해줍니다.

Vista 64에서 Prosuite(PDE,VFS,EDS)가 제대로 동작합니다.

다른 기능도 테스트 해봐야 할 듯합니다.

Forensic 조사자의 필수품이었던 Helix의 상용버전인 Helix 3 Pro의 신버전(2009R2)이 출시되었다네요.

기능 추가 사항 

- Ability to save hash values generated in the Hash window  

- Acquisitions now have a single file name for all three output files: chain of custody, log, and image name 
- Helix3 Pro will auto discover the Helix3 Pro Receiver application on the local network 
- Helix3 Pro Receiver can accept more than 1 incoming image at a time  
- Save search results to a log file  
- Automatic verification of image hashes  
- Ability to image RAM on Linux through the /dev/mem device  
- Renamed dropdown item from Helix Pro Server to Helix3 Pro Receiver  
- Added cloning feature to the Helix3 Pro bootable UI  
- Added ability to mount devices from bootable UI  
- Can send volatile data collection results to Helix3 Pro Receiver  
- Log file contains all the output locations  
- Added additional exception handling  
- Automatically detects if the destination location does not have enough space for an image file 
- Hash search result files to ensure integrity when copied  
- Custom 2.6.28 Linux Kernel 
- New targetiscsi ability which auto generates devices and makes them available read only to iscsi initiators 
- Add new user called helix client with password helix for ssh access (sshd auto starts on boot) 
- Added crypt setup to bootable side 
- Added sqlite3 to bootable side 
- Added autopsy 2.21 to bootable side 
- Switched to Ubuntu 9.04 base 
   

수정사항 

- Encoding problems for foreign languages 

- Adjusted bootable side wallpaper to work with all resolutions  
- Adjusted text in the About box  
- Leaving "Copy Files To:" field blank in Search Window causes NilObjectException Error  
- OutOfBoundsException error when sending volatile data to receiver  
- Adjusted the order of collection for all tools to meet order of volatility collection 
- Clicking on stop button doesn't stop Receiver application from receiving data  
- NilObjectException Error when skipping verification of image  
- NilObjectException Error with printing blank COC form  
- Exception when creating the Chain of Custody form  
- Stopping an image being sent to a Receiver causes a NilObjectException Error  
- "User Info" volatile data does nothing  
- Verification fails for image of live device saved to a locally attached storage device  
- Search box highlighted when on the Info screen  
- Fix NilObjectException Error possibility within launcher code  
- NilObjectException Error on Mac 10.4 when launcher and Helix3 Pro start  
- If destination is in path of search folder files copied to destination will be shown in search results  
- Search button is disabled when memory device is selected 

이전다음

012

EnCase Enterprise의 agent인 Servlet을 Sun Solaris에 설치하는 방법입니다.

현재 Sun Solaris Sparc (x86에는 설치되지 않습니다) 8,9,10 의 32/64 machine을 지원하고 있습니다.

일반적인 Servlet은 ELF 파일만 실행시켜주면 되지만 Solaris의 경우 Driver 설치가 필요합니다.

따라서 Servlet 패키지를 시스템에 업로드 한 뒤 압축을 푼 후 pkgadd 명령어를 이용해 설치합니다.

설치가 끝나면 실행해주시면 됩니다.

[solweb1:root:/var/spool/pkg]tar xvf GSIservl.tar x GSIservl/pkgmap, 1421 bytes, 3 테이프 블록 x GSIservl/pkginfo, 296 bytes, 1 테이프 블록 x GSIservl/root, 0 bytes, 0 테이프 블록 x GSIservl/root/usr, 0 bytes, 0 테이프 블록 x GSIservl/root/usr/kernel, 0 bytes, 0 테이프 블록 x GSIservl/root/usr/kernel/drv, 0 bytes, 0 테이프 블록 x GSIservl/root/usr/kernel/drv/gsidrv8, 7988 bytes, 16 테이프 블록 x GSIservl/root/usr/kernel/drv/gsidrv8.conf, 174 bytes, 1 테이프 블록 x GSIservl/root/usr/kernel/drv/gsidrv9, 7932 bytes, 16 테이프 블록 x GSIservl/root/usr/kernel/drv/gsidrv9.conf, 174 bytes, 1 테이프 블록 x GSIservl/root/usr/kernel/drv/sparcv9, 0 bytes, 0 테이프 블록 x GSIservl/root/usr/kernel/drv/sparcv9/gsidrv8, 14280 bytes, 28 테이프 블록 x GSIservl/root/usr/kernel/drv/sparcv9/gsidrv9, 14216 bytes, 28 테이프 블록 x GSIservl/root/usr/kernel/drv/sparcv9/gsidrv10, 7792 bytes, 16 테이프 블록 x GSIservl/root/usr/kernel/drv/gsidrv10.conf, 184 bytes, 1 테이프 블록 x GSIservl/root/usr/kernel/drv/gsidrv10, 4988 bytes, 10 테이프 블록 x GSIservl/install, 0 bytes, 0 테이프 블록 x GSIservl/install/postinstall, 270 bytes, 1 테이프 블록 x GSIservl/install/preremove, 156 bytes, 1 테이프 블록 x GSIservl/install/request, 2754 bytes, 6 테이프 블록 x GSIservl/reloc/encase/ensolsparc10, 1338600 bytes, 2615 테이프 블록 x GSIservl/reloc/encase/ensolsparc1064, 1225888 bytes, 2395 테이프 블록 x GSIservl/reloc/encase/ensolsparc8, 1356152 bytes, 2649 테이프 블록 x GSIservl/reloc/encase/ensolsparc864, 1249224 bytes, 2440 테이프 블록 x GSIservl/reloc/encase/ensolsparc9, 1327948 bytes, 2594 테이프 블록 x GSIservl/reloc/encase/ensolsparc964, 1214624 bytes, 2373 테이프 블록 [solweb1:root:/var/spool/pkg]ls GSIservl GSIservl.tar [solweb1:root:/var/spool/pkg]pkgadd GSIservl 패키지 예 <GSIservl>(을)를 </var/spool/pkg>에서 처리 중 Solaris servlet and driver for Encase Enterprise Edition (sparc) beta .1 Would you like to install the Encase Enterprise Edition Servlet for Solaris [y, n, q]? (default is yes, q to quit) Where would you like to install the Encase Enterprise Edition Servlet for Solaris [q, /usr/local]? (default is /usr/local, q to quit) 디렉토리 </usr/local>(을)를 패키지의 기본 디렉토리로 사용 ## 패키지 정보 처리 중 ## 시스템 정보 처리 중 3개 패키지 경로 이름이 이미 제대로 설치되어 있습니다. ## 디스크 공간 요구 검증 중 ## 이미 설치되어 있는 패키지와의 충돌 여부를 확인하고 있습니다. ## setuid/setgid 프로그램 점검 이 패키지에는 설치 과정 중 수퍼유저 권한으로 실행될 스크립트가 있습니다. <GSIservl>(을)를 계속 설치하겠습니까 [y,n,?] y Solaris servlet and driver for Encase Enterprise Edition(을)를 <GSIservl>(으)로 설치 ## 1째 (전체: 1) 부분 설치 [ 클래스 <serv> 검증 ] /usr/local/encase/ensolsparc964 [ 클래스 <serv964> 검증 ] [ 클래스 <driv> 검증 ] /usr/kernel/drv/gsidrv9 /usr/kernel/drv/gsidrv9.conf [ 클래스 <driv932> 검증 ] /usr/kernel/drv/sparcv9/gsidrv9 [ 클래스 <driv964> 검증 ] ## 설치 후 스크립트 실행 <GSIservl>(이)가 성공적으로 설치되었습니다. [solweb1:root:/var/spool/pkg] [solweb1:root:/var/spool/pkg]cd /usr/local/encase [solweb1:root:/usr/local/encase]ls -al 총 2404 drwx------ 2 root root 512 4월 30일 14:58 . drwxr-xr-x 7 root other 512 4월 30일 14:58 .. -rwx------ 1 root root 1214624 2004년 3월 16일 ensolsparc964 [solweb1:root:/usr/local/encase] [solweb1:root:/usr/local/encase] [solweb1:root:/usr/local/encase] [solweb1:root:/usr/local/encase]file ensolsparc964 ensolsparc964: ELF 64-비트 MSB 실행 가능 SPARCV9 버전 1, 동적으로 링크됨, 분리됨 [solweb1:root:/usr/local/encase]./ensolsparc964 -d -p /usr/local/encase [solweb1:root:/usr/local/encase]ps -ef | grep ensol root 1381 837 0 15:01:55 pts/9 0:00 grep ensol root 1378 1 0 15:01:49 ? 0:00 ./ensolsparc964 -d -p /usr/local/encase [solweb1:root:/usr/local/encase]netstat -an | grep 4445 *.4445 *.* 0 0 65880 0 LISTEN *.4445 *.* 0 0 65928 0 LISTEN *.4445 *.* 0 0 65880 0 LISTEN

실행 후 프로세스와 네트워크 상태를 확인해서 이상이 없으면 준비가 완료된 것입니다.

Lance Mueller 의 blog에 공개된 내용입니다.

EnCase로 조사를 수행하다 보면 중복된 파일을 필터링해야할 필요가 있습니다.

EnCase에서 기본으로 제공하는 필터인 "Unique Files by Hash"가 있긴 하지만 이 필터는 Case 내의 모든 파일에 적용되는 필터입니다.

Lance Mueller가 수정한 EnScript에서는 선택한 파일을 대상으로만 필터가 적용됩니다.

필터 창에서 새로만들기로 붙여넣어주시면 됩니다.

class MainClass { NameListClass HashList; bool UserCancel; MainClass() : HashList() { if (SystemClass::CANCEL == SystemClass::Message(SystemClass::ICONINFORMATION | SystemClass::MBOKCANCEL, "Unique Files By Hash", "Note:\nFiles must be hashed prior to running this filter.")) UserCancel = true; } bool Main(EntryClass entry) { if (UserCancel) return false; if (entry.IsSelected()){ HashClass hash = entry.HashValue(); if (!HashList.Find(hash)) new NameListClass(HashList, hash); else return false; return true; } else return false; } }

이전다음

012

FTK 2.5.5.22 실행화면

기능 : 물리디스크나 DD, Smart, Expert Witness(E01) 이미지로부터 신규 이미지 등을 생성하거나 추출할 수 있음

라이센스 : Free

변경사항 : 기존버전에서 생성한 E01 파일을 EnCase에서 읽을때 발생하던 오류 수정

다운로드

EnCase 6.13의 Case Processor 중 분석 초기에 자주 사용되는 Windows Initialize Case 를 사용시 결과가 제대로 나오지 않는 오류가 있었습니다. -> 클릭


북마크에 빈 폴더만 생성이 되고 Console 화면에서는 "Case Processor took 0 minutes 0 seconds." 라는 메시지가 보입니다.

상세한 오류 내용은 다음과 같습니다.
Defect 27423: The Case Processor/Windows Initialize Case script returns an empty folder if the device searched has the operating system on the second partition Defect 27807: The results of the Case Processor/Windows Initialize Case script are not exported to XML output properly Defect 27781: An error message was encountered when attempting to export the results of the Case Processor/Windows Initialize Case script to XLS (Excel)


현재 GSI에서 오류를 수정한 Script를 배포하고 있습니다. --> 클릭

편의를 위하여 이곳에도 올려놓겠습니다.


포함된 파일의 Hash 값은 다음과 같습니다.
File Name: GSI_SweepCaseLib.EnScript MD5: d799a22520717ef112a588a6cafafcb3 File Name: GSI_ResolveExcelLib.EnScript MD5: 3ba2b34d148289ef47adf198946a13bf File Name: GSI_Reg_InitializeCaseEnterpriseModule.EnScript MD5: 9fdd30c71024b220d4f215465f7605f8 File Name: GSI_Reg_InitializeCaseModule.EnScript MD5: 9afb66b984801a1eb8823de286c21e6c


파일 교체 이후에는 이전버전과 마찬가지로 정상 동작합니다.

평소와 달리(?) 20일만에 패치를 적용해준 GSI의 민첩성(-_-)에 감사드립니다.

EnCase 6.13.0.43 실행화면

Oracle Outside In Technology 도입, Native viewing 및 Indexing 지원
SHA-1 Hashing 지원
Full Memory / Process Memory imaging 지원

EnCase 5.05K 실행화면

XP Style 메뉴 도입
4분할 Pane 도입
Condition 기능 도입
Pro Suite, FastBloc SE 등 Plugin 도입
복사방지를 위해 Alladin HASP HL 도입

EnCase 4.22a 실행화면

Crack 버전이 유통중인 마지막 버전. 정식버전 Dongle이 있을경우 실행가능
Filter, Query 개념 도입
Script 명이 EnScript 로 변경됨
Enterprise Edition 출시
Forensic 수사 자체의 기능으로는 거의 완성 단계

EnCase 3.22g 실행화면

pane 개념이 생김
Interface적인 측면에서 v6 까지의 기본 틀이 됨
EScript(EnScript) 개념 도입