[EnCase] 인덱스 검색 (Index Searches)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 인덱스 검색기법에 대하여 설명합니다. 검색기법중 성능과 속도면에서 뛰어나지만 인덱스 만드는데 시간이 걸리는게 단점이죠. 시작해볼까요.

 

3가지 검색 방법

Index Searches

EP가 만들어 준 Index를 대상으로 검색합니다.

 

Tag Searches

사용자가 표시해 둔 Tag를 대상으로 검색합니다.

키워드를 미리 준비해 두어야 합니다.

 

Raw Searches

가공되지 않은 데이터를 대상으로 검색합니다.

키워드를 미리 준비해 두어야 합니다.

 

 

Indexing과 Raw Searches의 비교

Indexing

Raw data에서 Transcript text를 추출하여 이를 단어 별로 조각낸 후, 이를 Index DB에 저장하고, 분석관은 저장된 DB를 대상으로 검색합니다.

 

Raw Searches

Raw data를 대상으로 직접 검색합니다.

 

 

인덱스 범위

Evidence Processor 에서 [Index text and metadata]를 실행합니다.

텍스트 뿐만 아니라 메타데이터도 인덱스됩니다.

 

 

인덱스 검색시 사용하는 옵션

[stem], ‘~’기호

입력하는 단어에서 파생된 단어를 자동으로 찾아줍니다.

 

[Run Search]

Index 검색 탭의 내용만을 사용하여 검색하는 것 입니다.

 

[Run Combined Search]

Tag 검색 및 키워드 검색과 조합하여 검색하는 것 입니다.

 

 

 

감사합니다. 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)