[EnCase] 해시값(Hash Value)과 해시분석 (3)

안녕하세요. 도깬리 포렌식스 입니다.

해시값과 해시분석의 마지막 시간입니다. 오늘도 화이팅 합시다.^^

 

해시 라이브러리 케이스에 연결하는 방법

아래의 그림과 같이 진행합니다.

이때 해시 분석을 할려면 Enable 에 체크되어 있어야 합니다.

 

 

Case 내에서 일치하는 해시셋을 찾아 보기

해시 분석(해시값으로 개체 식별하기)의 가장 빠른 방법

[Filter] -> [Find Items by Hash Category] 를 선택합니다.

 

해시 분석 결과, 해시값 만으로 원하는 파일을 찾을 수 있습니다.

여러 개의 파일이 검색되었을 경우, [Hash Sets] 탭에서 검색된 파일이 어떤 해시셋과 연동이 되는지 알수 있습니다.

 

해시 분석이 완료된 후, 해시셋이 해시 라이브러리에서 추가되거나 제거되면, 해시 분석 결과도 자동적으로 업데이트됩니다.

 

 

Results 탭에서 어떤 파일과 일치하는 해시셋을 확인하는 방법

Go to file을 선택하고 Hash Sets 탭을 선택합니다.

 

 

해시 라이브러리에서 질의하기

찾고자 하는 파일에 대한 해시값이 이미 확보되어 있는 경우, 확보된 해시값을 전달받고, 그것이 해시 라이브러리의 어떤 개체와 일치하는지 질의할 수 있습니다.

 

 

감사합니다. 이것으로 해시 분석은 마치겠습니다.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)