[EnCase] EnCase의 협업기능 (Review Pakage)

안녕하세요. 도깬리 포렌식스 (goblinforensics) 입니다.^^

오늘은 EnCase를 이용한 협업기능(Review Pakage)에 대해서 알아 봅시다. 

 

대용량 데이터에서 증거 가치가 있는 데이터를 찾는 작업은 포렌식 분석관 혼자의 힘으로는 매우 어렵습니다. 이런 경우 포렌식 분석관은 기술적 지원을 하고, 전문 검토자(Reviewer)가 데이터의 내용을 분석하는 방식으로 분업이 이루어 집니다. EnCase의 리뷰 패키지 (Review Package)는 포렌식 분석관과 전문 검토자의 협업을 지원합니다.

 

리뷰 패키지 (Review Package)

검색 결과물이나 북마크 한 것을 ‘리뷰 패키지’로 만들면 전문 검토자가 검토하기에 용이합니다.

검토자(Reviewer)는 포렌식 분석관의 태그를 사용할 수 있고, 검토자 자신도 자신만의 태그를 만들어 포렌식 분석관에게 회신 가능합니다.

검토자가 .EnReview 파일(검토 결과물)을 만들어 포렌식 분석관에게 회신하면, 포렌식 분석관은 검토 결과물을 다시 EnCase로 들여오기 하여 재분석 가능합니다.

 

 

리뷰 패키지 (Review Package) 만드는 방법

[Bookmark] -> [Review Package] -> [Export]를 선택합니다.

확장자 : .hta

 

 

리뷰 패키지(Review Package)내에서 분석 및 태깅하는 방법

검토자(Reviewer)는 .hta 파일을 열어, 태그를 새롭게 추가할 수 있고, 포렌식 분석관이 만든 태그를 삭제할 수 도 있습니다.

 

 

검토자가 포렌식 분석관의 태그를 사용하거나 제거하게 되면 +, - 표시가 붙습니다.

 

 

리뷰 패키지(Review Package) 내보내기(Export) 및 들여보내기(Import)

검토자는 리뷰를 마친 후, 리뷰결과 파일(.EnReview)을 만들어 포렌식 분석관에게 회신해 주어야 합니다.

.EnReview 파일에는 각 아이템의 GUID와 태그 정보만이 저장됩니다. 즉, 케이스 관련 정보는 포함되지 않습니다.

포렌식 분석관은 검토자로부터 받은 리뷰결과 파일(.EnReview)을 EnCase에 들여 보내기(Import)를 합니다.

Evidence -> [Review Package] -> [Import]를 선택합니다.

 

 

감사합니다. 오늘은 여기 까지입니다. 

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)