[EnCase] EnCase Processing 준비하기

안녕하세요. 도깬리 입니다.^^

오늘은 EnCase에서 분석 대상 증거물을 프로세싱하는 것을 알아 봅니다. 

 

EnCase 증거 프로세서 (Evidence Processor)

 

증거 이미지를 케이스에 추가한 후 제일 먼저 해야 할 것은 Evidence Processing 입니다.

증거 프로세싱 작업은 다음과 같은 순서대로 진행합니다.

1. Add Image

2. Recovery Partition 과 암호화된 드라이브 복호화

3. Time Zone 확인

4. Evidence Processing 실행

 

프로세싱할 증거 데이터 준비

조사 대상 증거물을 준비합니다.

 

케이스에 증거 추가하기

이미 만들어 둔 케이스에 증거물을 추가합니다.

 

모든 물리적 디스크 영역 드러내기

Evidence Processing을 하기 전에 드라이브에 존재하는 모든 파티션이 정상적으로 보일 수 있도록 조치해야 합니다.

예를 들어,

- 삭제된 파티션이 있다면 복구해야 합니다.

- 암호화 파티션이 있다면 복호화해야 합니다.

 

물리적 디스크 용량과 논리적 파티션의 용량의 차이가 크면, 파티션 삭제 및 암호화 파티션의 존재를 의심해야 합니다.

 

 

타임존(Time zone) 설정 결정하기

인덱싱(Indexing)을 하게 되면 파일 내용 뿐만 아니라 파일의 메타데이터도 모두 인덱스(Index)에 포함됩니다.

타임존은 사용자가 임의로 설정을 하지 않으면, 조사관의 컴퓨터의 타임존을 반영하게 됩니다.

아래 그림에서 보듯, 조사관은 LA, 조사 대상 컴퓨터는 뉴욕에 위치한다면, 타임존을 '동부표준시'로 맞추어 주어야 합니다.

 

 

오늘은 짧게 여기까지입니다. 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.^^

 

참고문서 : EnCase Computer Forensics (1)