[EnCase] EnCase의 테이블 창과 뷰(View) (1)

안녕하세요. 도깬리입니다.

오늘은 EnCase의 가장 기본 화면인 테이블 뷰에 대해 살펴 보겠습니다. 테이블 뷰를 구성하는 각각의 컬럼에 대해 알아봅시다. 

 

Name

파일명, 폴더명, 볼륨명 등이 표시되는 컬럼입니다.

 

Tag

태그되거나 마킹된 개체를 표시합니다.

 

File Ext

파일 확장자입니다.

 

File Type

파일의 종류를 나타냅니다. 시그너처를 분석하여 보여주는 겁니다.

그러면 체크한 파일에 대하여 시그너처는 어떻게 분석할까요?

- 체크후 Entry에서  [Hash/Sig Selected] 선택하여 실행해보세요.

- 결과 확인은 현재 Evidence를 닫고, 새로이 열어야 해요.

 

Logical Size

운영체제에서 불러오는 논리적 파일 크기를 나타냅니다.

 

Category

파일의 종류(Type) 테이블에서 파일의 카테고리를 나타냅니다.

 

Signature Analysis

시그너처 분석 결과를 표시해줍니다.

 

File Type

시그너처 분석후 이 데이터가 Result에 생성됩니다.

 

Protected

패스워드 걸려 있는지, 암호화 되어 있는지 보여줍니다.

 

Protection Complexity

패스워드 또는 암호화의 수준을 표시합니다.

 

Last Accessed

가장 마지막으로 접근한 날짜와 시각을 보여줍니다.

다만 FAT 볼륨의 경우 마지막 접근 시각은 존재하지 않아요.

 

File Created

파일/폴더가 그 위치에서 생성된 날짜와 시각을 나타냅니다.

 

Last Written

파일을 마지막으로 열고 저장한 날짜와 시각을 나타냅니다.

 

Is Picture

사진파일인지 여부를 표시해주죠.

 

Is Indexed

색인되었는지 여부를 표시합니다.

 

Code Page

문자인코딩 방식을 표시합니다.

 

MD5 Hash Value

128비트 값입니다. MD5 해시값을 계산하면 여기에 그 값이 표시되요.

 

SHA-1 Hash Value

160비트 값입니다. SHA-1 해시값을 계산하면 여기에 그 값이 표시됩니다.

 

Primary Device

개체가 표시되는 곳에서의 장치를 표시합니다.

 

Item Path

현재의 뷰와 관련된 개체의 경로를 보여 줍니다.

 

True Path

Case-file 수준에서 부터의 개체의 경로를 보여 줍니다.

 

Description

엔트리의 상태를 표시합니다.

파일인지 폴더인지 여부, 삭제된 것인지 덮어 쓰여진 것인지 여부 등을 나타냅니다.

 

Is Deleted

삭제 여부를 표시합니다.

 

Entry Modified

NTFS, Linux의 시스템 메타데이터가 마지막으로 변경된 때를 표시합니다.

 

File Deleted

휴지통의 Info2 파일에 남아 있는 삭제된 날짜/시각을 표시합니다.

즉 휴지통으로 이동한 날짜와 시각을 의미하죠.

 

File Acquired

이미징이 시작된 날짜와 시각을 나타냅니다.

 

Initialized Size

파일을 열 때의 파일의 크기을 말합니다.

NTFS 파일시스템에만 적용되요.

 

Physical Size

파일에 할당된 저장 공간의 크기를 나타냅니다.

 

File Extents

파일에 할당된 클러스트의 조각 개수를 보여줍니다.

 

Permissions

파일 또는 폴더의 보안 설정 정보를 나타냅니다.

 

Physical Location

데이터가 시작되는 곳을 바이트로 표시해요

시작되는 물리적 섹터 X 512바이트로 계산하면 되죠.

 

Physical Sector

데이터가 시작되는 곳을 섹터로 표시해 줍니다.

 

Evidence File

증거 파일의 이름이에요.

 

File Identifier

Master File Table (NTFS) 또는 Inode Table (Linux/Unix)의 인덱스 숫자를 가리킵니다.

 

GUID

개체의 식별값입니다.

 

Hash Set

해시셋을 표시합니다.

해시 분석때 이용되죠.

 

Short Name

DOS 8.3 형태로 파일명(짧은 파일명)을 표시합니다.

 

VFS Name

VFS로 마운트된 파일 이름을 표시합니다.

 

Original Path

휴지통에 있는 데이터에서 나온 정보를 표시합니다.

파일이 삭제되었을 때 원래의 경로를 표시합니다.

삭제/덮어쓰여진 파일의 경우에는 덮어쓰기한 파일을 보여줍니다.

 

Symbolic Link

Linux/Unix에 해당하는 컬럼이에요.

 

Is Duplicate

중복파일 인지 여부를 표시합니다.

 

Is Internal

시스템파일 인지 여부를 표시합니다.

 

Is Overwritten

덮어씌워진 것인지 여부를 보여줍니다.

 

컬럼이 굉장히 많죠. 

테이블 뷰의 각 항목들은 분석을 할 때 가장 많이 참조해야 되는 것이므로 꼭 숙지해둡시다.

 

오늘은 여기 까지입니다. 

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)