[EnCase] Case 생성과 관리

안녕하세요. 도깬리입니다.

 

EnCase에서 Case를 생성하고 관리하는 기능에 대해 알아봅시다. 

 

기본 폴더

 

먼저 케이스를 만들어야겠죠. 케이스 만들면 Email, Export, Searches, Tags, Temp와 같은 폴더가 자동으로 생성됩니다. 그리고 새로운 장치나 증거 파일을 케이스에 추가하면 EvidenceCache 폴더가 생성되죠.

EvidenceCache 폴더

EvidenceCache 폴더에는 프로세싱이나 장치에 대한 캐시 작업에 따른 결과물이 저장됩니다. 이런 폴더는 분석관이 원하는 곳에 만들어 두면 됩니다.

Export 폴더

Export 폴더는 일반적인 destination 폴더의 역할을 합니다. 분석결과물을 내보내기 할 때 이곳을 지정하죠.

Tags 폴더

Tag 폴더는 사용자가 정의한 카테고리별로 마킹한 아이템을 문서화하는 기능을 합니다. 무슨 말이냐고요? 일종의 책갈피 기능이라고 생각하시면 됩니다. 데이터를 선별할 때 아주 유용합니다.

Temp 폴더

Temp 폴더는 조사하는 동안 생성된 임시 파일을 저장해두는 곳입니다.

 

Case Options

이번엔 Case Options에 대해 알아봅시다.

Templates

이것은 미리 설정된 케이스 템플릿인데, 기본 위치는 C:\programfiles\Encase 7.10\Templates입니다.

Name

케이스 파일명을 부여하는 곳입니다.

Base case folder

케이스 파일이 저장될 기본 위치입니다. 기본 위치는 C:\Users\<사용자>\My Documents\Encase입니다.

Full case path

Base case folder + Name으로 구성되어 있습니다.

Primary evidence cache

기본위치 : C:\Users\<사용자>\My Documents\Encase\Evidencecache이고, 하나의 케이스에 각각의 장치에 대해 각각의 증거 캐시가 있지만, 증거 파일에 있는 동일한 위치에 저장할 필요는 없습니다.

Use Base Case Folder for Primary Evidence Cache

Secondary evidence cache

이전에 생성된 evidence cache와 연동할 수 있게 합니다. Primary evidence cache 와는 다르게 읽기만 가능하죠.

Case information

Backup Settings

기본적으로 30분마다 백업되며, 기본위치는 C:\Users\<사용자>\My Documents\Encase\CaseBackup 입니다.

 2가지 Options 

[Case] -> [Options]는 케이스에 대한 옵션 설정입니다.

[Tools] ->  [Options]는 EnCase의 환경 설정입니다.

EnCase 환경 설정 옵션

[Global]은 자동 저장 기능, 사진 등의 옵션을 설정하는 탭입니다.

[Date]는 날짜와 시간 포맷 옵션에 관한 설정입니다.

[NAS]는 EnCase 동글이 서버에서 네트워크 인증이 가능하게 해주는 옵션을 설정하는 탭입니다.

[Colors]는 색깔과 관련한 설정 탭입니다.

[Fonts]는 폰트와 외국어 지원 관련 설정 탭입니다.

[Data paths]는 공유하는 Enscript 모듈, 필터, 컨디션 및 키워드에 쉽게 접근하게 하는 옵션을 설정하는 탭입니다.

[Debug]

 

감사합니다. 

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)