[EnCase] 인덱스 검색 (2)

안녕하세요^^ 도깬리 입니다.

즐거운 연휴가 시작되었네요. 오늘은 EnCase 인덱스 검색 두번째 시간입니다. 출발해볼까요?

 

인덱스 결과 보기

[Search]탭의 [Transcript]뷰에서 검색결과를 확인합니다.

검색단어를 바꾸어 조사를 계속할 때에는 이전 검색단어로 인한 검색 결과는 별도 저장을 해 두는게 좋습니다.

 

 

인덱싱 결과 저장하기

Search 탭 -> [Results] ->  [Create Results] 에서 결과를 저장합니다.

인덱스 검색이 수행될 때 마다 Search 라는 엔트리가 생성됩니다.

이것은 수행될 때마다 Search 엔트리에 반영이 됩니다. (휘발성)

따라서 인덱스 검색이 수행될 때 마다 그 결과를 따로 저장하는게 좋습니다.

Case 폴더 아래 Results 폴더에 그 결과 데이터가 저장됩니다.

 

 

인덱스 검색 표현식 저장하기

Search 탭 -> [Searches] -> [Save as] 에서 표현식을 저장합니다.

Case 폴더 아래 Searches 폴더에 그 결과 데이터가 저장됩니다.

 

 

메타 데이터에서 인덱스 검색하기

파일의 내용 뿐만 아니라, 파일 헤더에 저장되어 있는 정보도 인덱싱됩니다.

 

특정 파일의 카테고리 검색

파일 Type 테이블에 포함되어 있는 Category에 표시된 특정한 범주의 파일을 찾아 냅니다.

 

결과 탭에서 ‘Combine’ 사용하기

[Can Match Any]

OR 조건으로 분석결과를 결합합니다.

[Must Match All]

AND 조건으로 분석결과를 결합합니다.

 

 

오늘은 여기까지입니다.

 

"좋아요"와 "구독하기"는 힘이 됩니다.^^

 

참고문서 : EnCase Computer Forensics (1)