도깬리포렌식스

안녕하세요. 도깬리입니다.^^ 즐거운 일요일입니다. 오늘은 증거분석의 첫 단추인 Case 파일에 대해 알아봅니다. 그리고 쓰기방지장치 연결에 대해서도 설명합니다. 시작합니다. 케이스 파일 (Case file) 케이스에 대한 정보를 저장하는 텍스트 파일입니다. 모든 증거이미지, 미리보기한 장치, 검색 결과등에 대한 포인터를 저장하고 있습니다. 쉽게 말하면 분석한 결과에 대한 모든 정보를 포함한다는 의미입니다. 케이스 저장의 기본 폴더 User Data folder를 임의로 지정하면 그것이 기본 폴더가 됩니다. 케이스 백업 파일 케이스 파일에 대한 자동 저장 백업파일입니다. 케이스 백업 파일의 기본 위치 C:\Users\\My Documents\EnCase\Cases\Backup CaseRevisionFil..

안녕하세요. 도깬리입니다. 오늘은 EnCase의 증거이미지에 대해 알아 봅니다. EnCase의 증거이미지 포맷은 전세계적으로 가장 많이 사용되는 포맷 중 하나랍니다. 그럼 시작할까요? EnCase 증거이미지 레거시(과거) 포맷 : .E01 현재 포맷 : .Ex01 EnCase 레거시 E01 포맷 증거이미지 헤더 이미징시 사용자가 입력한 정보가 포함됩니다. 세그먼트 크기, 개수, 압축 여부, 증거이미지 이름, 메모, 패스워드가 헤더에 저장됩니다. 헤더 정보는 자동으로 압축됩니다. 순환 중복 검사 (Cyclical Redundancy Check, CRC) checksum 의 변형된 형태입니다. CRC 값은 데이터의 순서열과 상관 관계가 있습니다. 즉 스트링 1234 와 4321의 체크섬값은 동일하 CRC 값..

안녕하세요^^ 도깬리입니다. 오늘은 EnCase 메인 화면의 하단에 보이는 뷰(View)를 살펴 봅니다. 시작해볼까요? 뷰창 Fields 모든 메타 데이터(속성 정보)를 그리드 형식으로 나타내어 보여줍니다. Report 모드 메타 데이터(속성 정보)를 보고서 형식으로 보여줍니다. Text ASCII 문자로 보여줍니다. Hex Hex와 ASCII 문자로 보여줍니다. Decode Hex뷰에서 하이라이트된 영역을 해석하여 보여줍니다. Doc 파일 헤더 또는 시그너처를 해석하여 선택된 파일의 내용을 보여줍니다. Transcript 선택된 파일의 ASCII 문자를 걸러내여 사용자가 읽을 수 있는 문자, 숫자 및 부호들만 보여줍니다. Picture 선택된 파일의 확장자를 기반으로 EnCase 내부 뷰어로 이미지를 ..

안녕하세요. 도깬리입니다. 오늘도 계속해서 EnCase의 테이블 창을 살펴 봅니다. "좋아요", "구독하기"는 힘이 됩니다. 컬럼 구성하기 6중 정렬까지 가능합니다. - 같은 방향으로 다중 정렬하기 : Shift 키를 사용합니다. - 역 방향으로 다중 정렬하기 : Shift + Ctrl 키를 사용합니다. - 테이블 창에서 정렬 버튼 사용하기 오름차순, 내림차순을 구분하여 사용해 봅니다. - 컬럼 고정하기 (창 고정) 테이블 창에서 Column 버튼을 클릭한 후 [Set Lock]을 클릭하여 창을 고정합니다. 테이블 창 – 갤러리 뷰 [Fewer Columns] 한 줄에 표시되는 사진의 숫자를 줄여 줍니다. [More Columns] 한 줄에 표시되는 사진의 숫자를 늘려 줍니다. 20개 까지 가능합니다. ..

안녕하세요. 도깬리입니다. 오늘은 EnCase의 가장 기본 화면인 테이블 뷰에 대해 살펴 보겠습니다. 테이블 뷰를 구성하는 각각의 컬럼에 대해 알아봅시다. Name 파일명, 폴더명, 볼륨명 등이 표시되는 컬럼입니다. Tag 태그되거나 마킹된 개체를 표시합니다. File Ext 파일 확장자입니다. File Type 파일의 종류를 나타냅니다. 시그너처를 분석하여 보여주는 겁니다. 그러면 체크한 파일에 대하여 시그너처는 어떻게 분석할까요? - 체크후 Entry에서 [Hash/Sig Selected] 선택하여 실행해보세요. - 결과 확인은 현재 Evidence를 닫고, 새로이 열어야 해요. Logical Size 운영체제에서 불러오는 논리적 파일 크기를 나타냅니다. Category 파일의 종류(Type) 테이블..

안녕하세요. 도깬리 입니다. EnCase 화면을 구성하는 여러가지 항목들을 살펴 봅시다. 분석화면에 보이는 아이콘이나 기호들이 어떤 기능을 갖는지 알아야 원활하게 도구를 사용할 수 있겠죠. 오늘을 그 첫 시간입니다. 시작할까요? 로컬 드라이브 미리 보기 (Add Local Device) [Detect Tableau Hardware] 체크하면, EnCase가 Tableau 장치를 인식하게 됩니다. 그리고 EnCase Report에 Tableau 라고 표시가 되죠. [Only Show Write Blocked] 쓰기방지된 것만 보이게 합니다. [Detect Legacy FastBloc] 오래된 FastBloc 시그너처도 인식가능하게 합니다. [Enable DCO Removal] DCO (Device Conf..

(P3, CD ; 1-4, 04:38, MP3 ;1/24, 18:00) Jandali was the youngest of nine children in a prominent Syrian family. His father owned oil refineries[8] and multiple other businesses, with large holdings[9] in Damascus and Homs, and at one point pretty much controlled the price of wheat[10] in the region. His mother, he later said, was a “traditional Muslim woman” who was a “conservative, obedient[11]..

안녕하세요. 도깬리입니다. 환경설정 두번째 시간입니다. [Colors] EnCase 인터페이스의 색깔을 결정합니다. [Fonts] 폰트의 모양을 결정합니다. [Data Paths] [Shared Files Location] 공유 데이터의 저장 위치를 지정합니다. [User Data Folders] 사용자 생성 파일 및 백업 데이터의 저장 위치를 지정합니다. [User Application Data Folders] 환경설정 파일 및 임시 파일, EnCase의 설치 폴더의 저장 위치를 지정합니다. [Debug] 프로그램에 문제 발생시, 문제의 원인을 파악하는 용도로 사용됩니다. [Save All] Global Options 설정 내용을 저장합니다. 이것를 선택하면 최근 작업으로 변경된 케이스 및 모든 설정이..

(P2, CD ; 1-4, 01:49, MP3 ;1/24, 15:12) Clara was born in New Jersey, where her parents had landed after fleeing[4] the Turks in Armenia, and they moved to the Mission District of San Francisco when she was a child. She had a secret that she rarely mentioned to anyone: She had been married before, but her husband had been killed in the war. So when she met Paul Jobs on that first date, she was p..

EnCase 환경 설정 EnCase의 환경 설정에 대해서 알아 봅시다. 설정을 잘 알게 되면 도구를 효율적으로 사용할 수 있습니다. 그럼 시작할까요.... Global options [Tool]-->[Options]를 찾아갑니다. 케이스에 대한 global 환경설정 옵션입니다. [Enable Picture Viewer] 갤러리뷰에서 사진을 볼 수 있게 합니다. [Enable ART image display] AOL의 ART 파일은 IE에서 지원하지 않는데 반해, EnCase에서는 지원합니다. [Invalid picture timeout] 손상된 사진을 읽지 않고 그냥 패스하여 속도를 향상시킵니다. 즉 12초 안에 사진이 열리지 않으면 해당 파일은 임시 저장하고 그냥 패스한다는 얘기죠. [Force ord..