[EnCase] 파일 시그너처 분석 (File Signature Analysis) (3)

안녕하세요. 도깬리 포렌식스입니다.

오늘은 시그너처 분석 마지막 시간입니다. 시그너처를 분석한 후 결과를 보는 방법을 살펴봅니다. 

 

시그너처 분석 결과를 확인하기 위해 Filter를 실행하는 방법

[Filter] -> [Find Items by Signature]을 선택합니다.

 

3가지 옵션

[Current View]

필터 대상 : 현재뷰의 모든 개체를 대상으로 합니다.

결과 출력 : 동일 탭에 그대로 보여줍니다.

 

[Current device]

필터 대상 : 하이라이트된 장치 안의 모든 개체를 대상으로 합니다.

결과 출력 : Results 탭에서 보여줍니다.

 

[All Evidence Files]

필터 대상 : 케이스 안의 모든 증거이미지를 대상으로 합니다.

결과 출력 : Results 탭에서 보여줍니다.

 

 

시그너처 분석을 하면 Signature Analysis, File Type 컬럼에 분석결과가 표시됩니다.

 

 

아래의 그림을 보면 파일 타입 테이블의 헤더 시그너처와는 일치하나 등록된 확장자와 일치하지 않으므로 Alias로 표시되었네요. (즉, 확장자가 변경된 것으로 의심할 만 합니다.)

 

 

감사합니다. 오늘은 여기까지입니다.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)