[EnCase] 검색 결과 조사하는 방법

안녕하세요. 도깬리포렌식스입니다.

오늘은 EnCase에서 검색결과를 어디에서 어떻게 보는지 살펴 보겠습니다. 시작하겠습니다.^^

 

검색결과 보기

인덱스 검색 결과 보는 탭

Transcript 탭을 이용합니다.

 

키워드 검색 결과 보는 탭 

Text 탭을 이용합니다.

 

인덱스 검색 결과를 조사하는 방법

Transcript 뷰는 개체 내에서 사용자가 읽을 수 있는 텍스트를 추출해서 보여 주기 위해 코드 부분을 제거한 것입니다.

Doc 뷰와 Transcript 뷰의 경우 슬랙 데이터 영역은 보여주지 않습니다.

Doc 뷰에서는 파일의 헤더(시그너처)를 참고하여 파일 내의 데이터를 해석해서 보여줍니다.

인덱스 검색 결과를 조사하기 위해 압축 뷰(Compressed View)를 사용합니다.

 

 

검색 결과에서 윈도우 디렉토리 구조로 바로 이동하는 방법

[Go To File]

검색 결과로 발견된 파일이 윈도우 폴더 구조에서 어떤 폴더 아래에 위치하고, 그 주변의 파일은 어떤 것이 있는지 확인하는 용도입니다.

 

[Back]

다시 검색 결과로 되돌아가게 됩니다.

 

 

오늘은 여기까지입니다.

 

감사합니다.

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)