[EnCase] RAW 검색 (Keywords 검색) 하기

안녕하세요^^ 도깬리 포렌식스 입니다.

오늘은 선별작업과 분석의 핵심이라고 할 수 있는 Raw 검색 (또는 키워드 검색, Keywords Search)에 대해 알아 봅시다.

시작합니다.

 

RAW 검색

키워드 검색(Raw 검색)은 raw binary 만을 검색하기 때문에 복합파일, 압축파일 등 일부 파일의 경우 검색이 되지 않을 수도 있다. (따라서 이들 파일은 마운트를 먼저 한 다음 키워드 검색을 수행해야 함)

키워드 검색의 경우 메타데이터(파일 헤더값)는 검색되지 않는다.

 

키워드 검색의 시작 위치

물리적 드라이브 전체를 대상으로 할 경우

[Evidence] -> [Raw Search All]

선택된 일부 엔트리를 대상으로 할 경우

[Entry] -> [Raw Search Selected]

 

 

Raw 키워드 검색 옵션

[Search entry slack]

체크하면, 슬랙영역까지 검색에 포함합니다.

 

[Skip contents for known files]

체크하면, 알려진 파일을 검색에서 제외합니다.

 

[Undelete entries before searching]

체크하면, 시작 클러스터와 비할당 클러스터에 걸쳐 있는 단어도 검색에 포함합니다.

 

[Use initialized size]

체크하면, 논리적 또는 물리적 파일 크기와는 상관없이 엔트리의 초기 크기만으로 검색을 할 수 있습니다.

 

 

키워드 검색 표현식 만들기

[Search Expression]

검색단어, 구문, GREP 표현식을 입력합니다.

 

[Name]

GREP 표현식의 경우 설명문이 필요하므로, 여기에 주석을 달아 줍니다.

 

[Case Sensitive]

체크하면, 대소문자를 구분하여 검색합니다.

 

[GREP]

패턴화된 검색이 필요한 경우 GREP 검색을 이용한다.

- 패턴화된 검색은 주민등록 번호, 전화번호, 이메일 주소 등 일정한 형식을 갖춘 정보에 대한 검색을 의미합니다.

 

[ANSI Latin-1]

Windows의 기본 코드 페이지입니다.

항상 체크되어 있습니다.

 

[Unicode]

영어 이외의 문자에 대한 검색이 필요한 경우, 여기에 체크합니다. 우리는 한글을 사용하니 필수 체크 사항이겠죠.

더군다나 MS Office, Windows 2000, XP, Vista, 7이후의 버전 모두 유니코드를 사용하니 반드시 체크해야 합니다.

 

[Unicode Big-Endian]

Non-Intel 기반 데이터를 검색할 때 체크해야 합니다. 

 

[UTF-8]

Universal Character Set Transformation Format

유니코드의 8비트 형태입니다.

URL을 통해 GET 요청의 변수값은 UTF8로 인코딩되어 있으므로, 주로 인터넷으로 전송된 Data를 분석할때 체크해야 합니다.

 

[UTF-7]

오래된 인터넷 자료를 분석할 때는 체크해야 합니다.

 

[Whole Word]

구문으로 검색하게 해 줍니다.

 

[Add Keyword List]

여러 개의 키워드를 한꺼번에 추가할 수 있습니다.

 

 

키워드 검색결과 보기

Raw 검색을 하면 자동으로 Results 탭에 그 결과가 나타납니다. 

View -> Search 탭에서 Refresh 버튼을 클릭하여 중간 검색 결과를 확인 할 수도 있습니다.

 

케이스 및 증거 키워드 저장

인덱스 검색 단어와 옵션은 .EnSearch 파일에 저장됩니다.

키워드 검색 단어와 옵션은 . Keywords 파일에 저장됩니다.

 

 

주의할 점은 위 옵션을 너무 많이 체크하면 그만큼 검색 시간도 늘어나게 된다는 것입니다. 신중하게 검색 전략을 세울 필요가 있습니다.

 

오늘은 여기까지 입니다. 즐거운 하루 되세요^^

 

"좋아요"와 "구독하기"는 힘이 됩니다.^^

 

참고문서 : EnCase Computer Forensics (1)