[EnCase] 분석 데이터를 보관, 관리하는 방법

안녕하세요. 도깬리 포렌식스입니다.

오늘은 분석을 종료한 후 케이스를 보관하는 방법에 대해 알아봅니다. 화이팅 하세요.

 

분석 데이터를 보관 관리하는 방법

분석이 완료되면 Case 폴더 안의 모든 자료는 이미지로 만들어 보관해야 합니다.

또한, Case 폴더 이외에도 다음과 같은 자료를 함께 보관해 둘 필요도 있습니다.

 

백업 케이스 파일과 사용자 데이터

C:\Users\<사용자명>\My Documents\EnCase

 

사용자 어플리케이션 환경 설정 파일 (viewers.ini, filetypes.ini)

C:\Users\<사용자명>\AppData\Roaming\EnCase\Encase7-X

 

전역 어플리케이션 환경설정 파일, 보고서에 포함되는 이미지, 인덱싱 작업의 노이즈 파일 등

C:\ProgramData\EnCase\EnCase7-X\Config

 

프로그램 설치 폴더

케이스에 지정된 증거 캐시 폴더

공유 폴더

증거파일 폴더

해시 라이브러리

해시셋 폴더

 

EnCase V7 이후에서는 케이스 파일, 케이스 폴더, 증거 캐시의 백업 파일에 대한 백업을 다음과 같이 패키지로 만들 수 있습니다.

[Case] -> [Create Package]

 

3가지 옵션

[Copy]

Required items, Primary Evidence Cache를 백업합니다.

Required items에는 Export, Temp, Email, Results, Tags를 포함합니다.

 

[Archive]

Evidence Files, Secondary Evidence Cache까지 백업합니다.

 

[Customize]

분석자가 임의로 선택 가능합니다.

 

 

보관된 증거파일 검증하는 방법

[Verify File Integrity…]

증거파일은 처음 케이스에 추가하게 되면 자동으로 검증이 일어납니다.

추가적으로 재검증이 필요한 경우에는 증거파일을 선택한 후, Verify File Intergrity를 실행해야 합니다.

 

케이스 복원하는 방법

증거이미지 파일의 경로가 잘못 되어 있으면, [Update Paths]를 이용하여 새로 잡아 주면 됩니다.

 

 

감사합니다. 

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)