View
657
Download
4
Category
Preview:
Citation preview
Tableau TD3 Manual제작 : Protorn (Version 1.6)
protorn.tistory.com
TD3 Forensic Imaging System?
GuidanceSoftware Tableau사에서 개발한
이미징 하드웨어(Imaging Hardware)
타사 제품으로는 Logicube사의 Forensic Falcon이 있음
제품 외관
전면 후면
제품 외관
좌측면 우측면
제품 외관
제공 모듈
TP5 : 본체 전원 어댑터 TDS2 : 스토리지 간편 제거 모듈
TDPX5 : 인터페이스 확장 모듈 TDPX8-RW : USB3.0 읽기/쓰기 확장 모듈
제공 케이블
TC2-8-R2 : IDE 타입/레거시 SATA
하드디스크 전원 케이블
TC3-8 : SATA 하드디스크 신호 케이블
TC4-8-R2 : SATA/SAS 신호+전원 케이블
제공 케이블
TC5-8-R2 : 15-pin SATA 디스크 전원 케이블
TC6-8 : IDE 하드디스크 신호 케이블
TC7-6-6 : 6-pin FireWire케이블
제공 어댑터, 케이블
TCA7-6-9 : FireWire 1394A(6-pin) to 1394B(9-pin)어댑터
TC-USB3-18 : USB 3.0 A to B 케이블
TC3-22-18 : 통합된 SATA 케이블
제공 멀티팩
TDA Multipack
노트북 하드디스크 연결을 위한 어댑터 팩
장치 연결 다이어그램
1a ~ 4원본 디스크를
인터페이스에
일치하게
쓰기 방지 장치
연결 후,
TD3에 연결
5 ~ 7bFireWire,USB3.0, SATA 인터페이스 장치 연결
10aTDS1모듈을사용하여디스크 연결
10bSATA to SATA 확장 케이블
8Ethernet 케이블 연결
9USB 2.0/1.1 장치 연결
메인 메뉴
· Duplicate : 디스크 복제 · Hash : 원본 디스크 해싱(Hashing)· Verify : 원본-사본 디스크 동일성 검증· HPA/DCO Disable : HPA/DCO 영역에 대한 검사 여부 설정· Blank Check : 원본 디스크 공백 검사· Format : 사본 디스크 포맷
메인 메뉴
· Wipe : 사본 디스크에 대한 와이핑(Wiping) 기능
· Logs : 장치 사용 내역 확인
· Settings : TD3 환경 설정
설정(Settings)
· System Settings : TD3 하드웨어 환경 설정 변경· Enable iSCSI : iSCSI기능 설정/해제
· iSCSi : iSCSI 환경 설정 (원본, 사본 디스크)· CIFS : 사본 디스크 Windows 공유 환경 설정· Duplication Settings : 복제 작업 설정 변경
설정(Settings)-시스템 설정
· Start Screen : 기본 시작화면/원클릭 환경 설정 선택· Network : 이더넷(Ethernet) 포트 설정 변경· Sounds : TD3 운영체제 알림음 활성/비활성
· 24-Hour Time : TD3 시간 24시간제 활성/비활성· Web UI Access : 웹 기반 사용자 인터페이스 활성/비활성
· Date & Time : TD3 시간 설정· Brightness : TD3 터치 스크린 밝기 설정
· Factory Reset : TD3공장 초기화
설정(Settings)-복제 설정
· Examiner : 사건 조사관 이름· Case ID : 사건 ID번호
· Case Notes : 사건 혹은 복제에 관한 여러 정보 및 절차 기술· Duplication Type : Disk-to-File 혹은 Disk-to-Disk 선택
· Destination Dir : Disk-to-file(이미징) 목적지 디렉터리 설정· File Format : 이미지 파일의 포맷 설정(DD, E01, Ex01)
· Verification : 이미징 완료 시, 무결성 검증(기본 미설정)
설정(Settings)-복제기 정보
· TD3 F/W version : TD3 현재 펌웨어 버전(SD카드를 통해 펌웨어 업그레이드 가능)
· TD3 Build ID : 펌웨어 빌드 ID· TD3 Serial Number : TD3 시리얼 넘버
· NAND Hash : 내부 NAND 플래시 MD5해시 정보(www.guidancesoftware.com/tableau에서 확인 가능)
· Uboot Version : TD3내 상주하는 펌웨어 버전· View License : TD3에서 사용된 오픈소스 소프트웨어 패키지 확인
설정(Settings)-언어 설정
· English : 영어 [기본 설정]· Spanish : 스페인어· French : 프랑스어· German : 독일어
· Portuguese : 포르투갈어· Russian : 러시아어
· Chinese : 중국어(간체)
디스크 드라이브 탐지
초기 설정을 마치고 원본/사본 대상 디스크를 TD3에 연결하면
디스크가 인식되어 화면 좌, 우측에 SATA-In/SATA-Out 버튼이 나타남
원본 대상 디스크 정보
메인 메뉴 화면에서 원본 대상 드라이브 아이콘을 터치하여
원본 대상 디스크 드라이브 연결에 대한 추가 정보 확인
SMART 정보 지원 원본 디스크
연결된 원본 대상 디스크가 SMART 정보를 지원하는 경우,
View SMART Report 기능 제공
SMART Report
View SMART Report 버튼을 클릭하면 디스크의 SMART 정보를 가져옴
Save 버튼 클릭 시, 해당 정보가 로그에 복사됨
사본 대상 디스크 정보
메인 메뉴 화면에서 사본 대상 드라이브 아이콘을 터치하여
사본 대상 디스크 드라이브 연결에 대한 추가 정보 확인
Twinning 모드
TDS2 모듈 2개를 TD3에 연결하면, 원본 디스크를
사본 대상 디스크로 동시에 복제 작업이 가능함
(Twinning Mode 사용에 의해 성능 손실은 발생하지 않음)
TDS2 모듈 1개 연결
TDS2 모듈 2개 연결
Twinning 모드-디스크 정보
메인 메뉴 화면에서 SATA-Out 아이콘을 클릭하여
Twinning 모드 적용 시 디스크 정보 화면 확인
Twinning 모드-디스크 정보
스크롤을 내리면 각각의 디스크 드라이브
연결 정보에 대해 확인 가능
디스크 복제
메인 메뉴 화면에서 Duplicate 버튼을 클릭하면
위 사진과 같이 디스크 복제 메뉴 화면이 나타남
Settings 버튼을 클릭하여 디스크 복제 설정 진행
디스크 복제(Disk-To-Disk)
디스크 클로닝(Cloning)을 위해 Duplication Type 버튼을 클릭하여
Disk-To-Disk 를 선택하고 디스크 복제에 관한 설정 진행
Back 버튼을 클릭하면 디스크 복제 메뉴 화면으로 복귀
디스크 복제(Disk-To-Disk)
디스크 복제 메뉴 화면에서 Duplicate 버튼을 클릭하면
사용자 설정 사항대로 디스크 복제(Disk-To-Disk) 진행
디스크 복제(Disk-To-Disk)
디스크 복제(Disk-To-File )가 완료되면 위 사진과 같이
원본 디스크에 대한 MD5 및 SHA1 해시값 출력
View Log 버튼을 클릭 시, 복제 결과 상세 내역 확인 가능
디스크 복제(Disk-To-File)
디스크 이미징(Cloning)을 위해 Duplication Type 버튼을 클릭하여
Disk-To-File 을 선택하고 디스크 복제에 관한 설정과
디스크 이미징 설정(파일 분할 기준, 이미지 파일 포맷, 이름 설정 등)을 진행
디스크 복제(Disk-To-File)
[이미징이 완료되면 생성되는 디렉터리, 파일 이름, 파일 포맷, 로그 파일 형식]
Settings → Duplication → Settings → File Size 에서 파일 크기 설정
Main Menu →Settings → Duplication Settings → File Extension Setting 에서
이미지 파일 확장자(DD,E01, Ex01) 설정
디스크 복제(Disk-To-File)
이미징 설정이 완료되면 디스크 복제 메뉴 화면으로 복귀하고
디스크 복제 메뉴 화면에서 Duplicate 버튼을 클릭하여
사용자 설정 사항에 따라 디스크 복제(Disk-To-Disk) 진행
디스크 복제(Disk-To-File)
디스크 복제(Disk-To-File)가 완료되면 위 사진과 같이
원본 디스크에 대한 MD5 및 SHA1 해시값이 출력됨
View Log 버튼을 클릭 시, 복제 결과 상세 내역 확인 가능
해싱(Hashing)
해싱(Hashing) 작업을 진행하기 위해 메인 메뉴 화면에서
Hash 버튼을 클릭해 Hash 메뉴에 진입
해싱(Hashing)
Hash 버튼을 클릭하여 원본(Source) 디스크에 대한 해싱(Hashing) 작업 진행
Hash는 MD5, SHA1 두 가지 값이 생성됨
해싱(Hashing) 작업이 완료되면 View Log 버튼을 클릭하여 상세 결과 확인
검증(Verifying)
이미지 파일의 동일성 검증을 위해 메인 메뉴 화면에서
Verifying 버튼을 클릭하여 검증(Verify) 메뉴에 진입
검증(Verifying)
이미지 파일 동일성 검증에 앞서, Settings 버튼을 클릭하여
조사자 성명, 사건 ID, 사건 노트, 검증 대상 이미지 파일 경로설정 진행
검증(Verifying)
설정을 완료한 후, 검증 메뉴 화면으로 복귀하여 Verify 아이콘을
클릭해 이미지 파일 동일성 검증 작업 진행
검증(Verifying)
검증(Verify) 작업이 완료되면 동일성 검증 대상 이미지 파일의
MD5 및 SHA1 해시(Hash) 정보가 출력됨
View Log버튼을 클릭하면 작업 결과 상세 내역 확인 가능
HPA/DCO Disable
HPA(Host Protected Area)와 DCO(Device Configuration Overlay)는
운영체제에서 사용자에게 보이지 않는 영역이기 때문에 악의적인
사용자가 해당 영역에 데이터를 은닉할 가능성이 있으므로,
작업을 진행할 때 이 영역에 대한 포함 여부를 설정하는 기능
공백 검사(Blank Check)
· Fast : Master Boot Record, Primary GPT, Secondary GPT 섹터에서 공백을읽어내 검사할 항목을 빠르게 결정
· Smart : 가용 섹터의 10%에 대하여 무작위로 공백 여부를 결정하여 진행
· Complete : 공백을 찾기 위해 유효한 섹터를 100% 검사
포맷(Format)
Disk-To-File 이미징(Imaging) 작업을 위해 사본 대상 디스크를 TD3에서
인식할 수 있는 파일 시스템(ext2~4, exFAT)으로 포맷을 진행해야 함
메인 메뉴 화면에서 Format 버튼을 클릭하여 포맷 메뉴로 진입
포맷(Format)
먼저 Settings 버튼을 클릭하여 사본 대상 디스크 포맷 형식을 설정
디스크 포맷 형식은 ext2, ext3, ext4, exFAT을 지원
설정이 완료되면 Format 버튼을 클릭하여 작업 진행
와이핑(Wipe)
사본 대상 디스크를 공장 출하 상태로 초기화 시기키 위해
메인 메뉴 화면에서 Wipe 버튼을 클릭하여 와이프(Wipe) 메뉴에 진입
와이핑(Wipe)
와이프(Wipe) 메뉴에서 Settings 버튼을 클릭하여 조사자 성명 및
사건 정보, 사건 노트, 와이프 모드, 검증 모드 설정을 진행
와이핑(Wipe)
Wipe Mode 버튼을 클릭하여 One · Multiple Pass, Secure Erase를 설정
· One Pass : 와이핑(Wiping) 작업 1회 진행
· Multiple Pass : 와이핑(Wiping) 작업 2회 진행
· Secure Erase : 안전 삭제(SSD만 지원)
와이핑(Wipe)
Verification Mode 버튼을 클릭하여 None, Last Pass, All Passes 선택
· None : 검증 작업 미진행
· Last Pass : 최종 Wipe 작업 후, 검증 작업 진행
· All Passes : Wipe 작업마다 검증 작업 진행
와이핑(Wipe)
설정이 완료되면 와이프(Wipe) 메뉴로 복귀하여
Wipe 아이콘을 클릭하고 와이핑(Wiping) 작업 진행
로그(Logs)
TD3 사용 내역 확인은 메인 메뉴 화면에서 Logs 버튼을 클릭하여
로그(Logs) 메뉴에 진입하면 작업 내역-요일-월-날짜-시간-연도-성공/실패
순서대로 보여지며, Save All 버튼을 통해 외장형 장치(USB)에저장 가능
Recommended