안녕하세요. 도깬리 포렌식스 입니다.
오늘은 EnCase의 분석 기능중 즐겨 사용하는 '컨티션 (Condition)' 기능에 대해 알아 봅시다.
컨디션
‘Filter’와 유사합니다.
분석관이 생성한 컨디션의 기본 저장 위치는 \Documents\EnCase 입니다.
EnCase 제품 설치시 자동으로 포함되는 컨디션과 분리하여 향후 업데이트 되어도 영향이 없도록 하기 위해 저장위치를 다르게 할 것을 권장합니다.
Operator 의 일부 소개
Find
여러 개 입력 가능, 포함하는 값을 찾아줍니다.
Matches
여러 개 입력 가능, 동일한 값만 찾아줍니다.
Contains
1개만 입력, 포함하는 값을 찾아줍니다.
Equal to
1개만 입력, 동일한 값만 찾아줍니다.
[Prompt for value]
체크하면, 컨디션이 실행될 때 팝업창이 뜨면서, 값을 추가/변경할 수 있습니다.
[Case Sensitive]
체크하면, 대소문자를 구분하여(입력한 그대로의) 값을 찾아줍니다.
분석기술
서로 다른 논리 요건을 분리해서 저장하기 위해서는 ‘폴더’를 사용하는 것이 좋습니다.
Logic operator는 자신의 부모 폴더 안에서만 작동합니다.
or, and 논리 요건 변경하기 위해서는 Change Logic 을 선택합니다.
특정 사용자의 SID를 확인하여, 특정인과 관련된 파일을 찾을 수도 있습니다.
특정인에 대한 SID는 EnCase의 Permissions 탭에서 확인하고 미리 Copy하여 둡니다.
컨디션의 일반 Properties에는 SID 항목이 없으므로, 해당 SID에 대한 Filter를 먼저 만든 다음, 이를 Properties에 추가하여 주어야 합니다.
Filter 탭의 PermissionRoot 에서 ID 항목에 찾고자 하는 SID 값을 추가하여 미리 함수를 만들어 둡니다.
Prompt for value 에 체크하여, 향후 분석시 변경된 값을 반영할 수 있도록 합니다.
SID 값을 추가한 함수가 만들어 지면, 이를 일반 Properties에서 확인하고, 컨디션에 추가하는 방식으로 진행합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] 인터넷 아티팩츠 분석 (1) (0) | 2022.04.27 |
|---|---|
| [EnCase] 이메일 분석 (Email Analysis) (0) | 2022.04.25 |
| [EnCase] 윈도우 바로가기 파일(Windows Shortcuts) 또는 링크 파일(Link Files) 분석 (0) | 2022.04.21 |
| [EnCase] 윈도우 시스템 파일과 폴더 분석 (0) | 2022.04.19 |
| [EnCase] 윈도우 사용자 데이터 (User Data) 분석 (3) (0) | 2022.04.14 |