https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html #1. What are the hash values (MD5 & SHA-1) of all images?
Does the acquisition and verification hash value match?
.dd : raw image, 실제와 똑같은 비트 단위로 복사
.e01 : encase image, Encase 프로그램으로 압축파일 형식으로 이미징.
Stored(Verification) Hash is the acquisition hash (hash of the data in the .dd .ad1 .e01 etc image file)
이미지 내에 stored(verification) hash value 존재(이미지 파일을 만들 때, 소스에 대한 해시값을 계산하여 이미지 파일 내에 저장)
Computed Hash is the hash of the original data in the source medium (hard disk etc).
source(이미지 파일, 물리적 디스크 등)에 대한 hash value 를 계산하는 것
이미지 파일에 대해 분석을 할 경우 이미지 파일이 위변조 되지 않아야 한다. 이를 검증하기 위한 방법으로 stored hash value 와 computed hash value 의 일치여부를 비교하는 것이다.
Personal Computer (PC) – 'EnCase' Image pc.E01, pc.E02, pc.E03, pc.E04 을 다운로드 받고, 다음의 과정을 진행한다. Tool : FTK imager 4.2.0
1.[File] - [Add Evidence Item]
4. [File] - [Verify drive/image] 를 통해 이미지 해시를 검증할 수 있다.
** [View] - [Properties] 를 통해, 이미지의 stored verification hashes를 비롯한 여러 속성을 확인할 수 있다. 언제) acquire date : 2015-04-23 어디서) acquired on OS : Windows 7 누가) examiner : dForensic_Team
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #6, all accounts list (0) | 2018.08.10 |
|---|---|
| data leakage case #5, computer name (0) | 2018.08.10 |
| data leakage case #4, timezone (0) | 2018.08.10 |
| data leakage case #3, OS Information (0) | 2018.08.10 |
| data leakage case #2, partition info (0) | 2018.08.10 |
