[EnCase] EnCase의 검색 기능 소개

안녕하세요. 도깬리포렌식스입니다. ^^

오늘은 EnCase의 검색 기법에 대해 살펴 봅시다. 디지털 포렌식 분석은 끝없는 검색의 연속과 다를 바 없습니다. EnCase는 다양한 검색 옵션을 제공하고 있습니다. 검색 스킬을 익히려면 우선 검색 기능에 대해서 잘 알고 있어야겠죠. 

 

3가지 검색 기법

 

태그 검색

사용자가 분석화면에서 선택한 엔트리에 대해 태그하고, 그 태그된 것만을 대상으로 검색합니다.

즉, 검색 이전에 태그를 하여야 하겠죠.

 

인덱스 검색

인덱스(색인)를 만들고, 그 인덱스를 대상으로 검색합니다.

즉, 검색 이전에 인덱스를 만들어야 하겠죠.

 

Raw 검색

Raw 데이터를 대상으로 검색합니다.

즉, 검색 이전에 키워드를 만들어야 하겠죠.

 

 

태그 검색

여러분이 책을 볼 때 중요한 부분, 나중에 다시 볼 부분을 책갈피를 여러 개 해두죠. 이런 책갈피만을 대상으로 검색하는 기법이랍니다. 데이터에 대한 선별 작업을 할 때 유용하게 사용됩니다.

 

인덱스 검색

책을 예로 들면 맨 뒷부분에 색인이 있습니다. 이런 색인을 미리 만들어 둔 후, 색인을 대상으로 검색하는 기술입니다. 당연히 색인을 만드는 과정은 시간이 매우 많이 소요되는 작업입니다.

 

분석대상 저장장치의 내용으로부터 ‘단어목록’으로 구성된 인덱스가 만들어집니다.

인덱스의 각각의 엔트리는 분석대상 저장장치에 포함된 단어에 대한 포인터를 포함합니다.

인덱스는 분석과정의 초기 단계에서 만들어야 합니다.

인덱스를 만들면, 파일의 Transcripts 텍스트가 추출되고, 이때 텍스트는 인덱스에 추가되기 위해 여러 단어로 쪼개집니다.

인덱스 검색은 생성된 인덱스를 대상으로 빠르게 처리됩니다. 즉, 일단 인덱스만 만들어지면 그 이후로는 가장 빠른 검색방법이 됩니다.

인덱스 검색을 하게 되면 파일의 메타데이터, 폴더, 드라이브의 인덱싱된 내용까지 모두 검색 가능하게 됩니다. 반면에 키워드 검색은 파일의 내용을 대상으로 하죠.

인덱스 검색 표현식은 사용자가 임의로 저장해 둘 수 있으며, 확장자는 .EnSearch 입니다. 자주 사용하는 키워드는 사건 유형별로 잘 정리해두면 다음에 요긴하게 사용할 수 있겠죠.

 

Raw 검색

키워드 검색을 EnCase에서는 Raw 검색이라고 부릅니다.

키워드 검색 표현식은 검색 전에 저장해 두어야 합니다.

키워드 검색이 완전히 끝나기 이전에도 중간 검색 결과를 확인할 수 있습니다.

그리고, 키워드 검색을 하기 전에는 검색할 대상을 미리 체크해 두어야겠죠. 

 

오늘은 여기 까지입니다. 

내일은 인덱스 검색에 대해 좀 더 자세히 알아보는 시간을 갖겠습니다.

 

즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)