도깬리포렌식스

안녕하세요. 도깬리입니다. 오늘은 EnCase의 증거이미지에 대해 알아 봅니다. EnCase의 증거이미지 포맷은 전세계적으로 가장 많이 사용되는 포맷 중 하나랍니다. 그럼 시작할까요? EnCase 증거이미지 레거시(과거) 포맷 : .E01 현재 포맷 : .Ex01 EnCase 레거시 E01 포맷 증거이미지 헤더 이미징시 사용자가 입력한 정보가 포함됩니다. 세그먼트 크기, 개수, 압축 여부, 증거이미지 이름, 메모, 패스워드가 헤더에 저장됩니다. 헤더 정보는 자동으로 압축됩니다. 순환 중복 검사 (Cyclical Redundancy Check, CRC) checksum 의 변형된 형태입니다. CRC 값은 데이터의 순서열과 상관 관계가 있습니다. 즉 스트링 1234 와 4321의 체크섬값은 동일하 CRC 값..

안녕하세요^^ 도깬리입니다. 오늘은 EnCase 메인 화면의 하단에 보이는 뷰(View)를 살펴 봅니다. 시작해볼까요? 뷰창 Fields 모든 메타 데이터(속성 정보)를 그리드 형식으로 나타내어 보여줍니다. Report 모드 메타 데이터(속성 정보)를 보고서 형식으로 보여줍니다. Text ASCII 문자로 보여줍니다. Hex Hex와 ASCII 문자로 보여줍니다. Decode Hex뷰에서 하이라이트된 영역을 해석하여 보여줍니다. Doc 파일 헤더 또는 시그너처를 해석하여 선택된 파일의 내용을 보여줍니다. Transcript 선택된 파일의 ASCII 문자를 걸러내여 사용자가 읽을 수 있는 문자, 숫자 및 부호들만 보여줍니다. Picture 선택된 파일의 확장자를 기반으로 EnCase 내부 뷰어로 이미지를 ..

안녕하세요. 도깬리입니다. 오늘도 계속해서 EnCase의 테이블 창을 살펴 봅니다. "좋아요", "구독하기"는 힘이 됩니다. 컬럼 구성하기 6중 정렬까지 가능합니다. - 같은 방향으로 다중 정렬하기 : Shift 키를 사용합니다. - 역 방향으로 다중 정렬하기 : Shift + Ctrl 키를 사용합니다. - 테이블 창에서 정렬 버튼 사용하기 오름차순, 내림차순을 구분하여 사용해 봅니다. - 컬럼 고정하기 (창 고정) 테이블 창에서 Column 버튼을 클릭한 후 [Set Lock]을 클릭하여 창을 고정합니다. 테이블 창 – 갤러리 뷰 [Fewer Columns] 한 줄에 표시되는 사진의 숫자를 줄여 줍니다. [More Columns] 한 줄에 표시되는 사진의 숫자를 늘려 줍니다. 20개 까지 가능합니다. ..

안녕하세요. 도깬리입니다. 오늘은 EnCase의 가장 기본 화면인 테이블 뷰에 대해 살펴 보겠습니다. 테이블 뷰를 구성하는 각각의 컬럼에 대해 알아봅시다. Name 파일명, 폴더명, 볼륨명 등이 표시되는 컬럼입니다. Tag 태그되거나 마킹된 개체를 표시합니다. File Ext 파일 확장자입니다. File Type 파일의 종류를 나타냅니다. 시그너처를 분석하여 보여주는 겁니다. 그러면 체크한 파일에 대하여 시그너처는 어떻게 분석할까요? - 체크후 Entry에서 [Hash/Sig Selected] 선택하여 실행해보세요. - 결과 확인은 현재 Evidence를 닫고, 새로이 열어야 해요. Logical Size 운영체제에서 불러오는 논리적 파일 크기를 나타냅니다. Category 파일의 종류(Type) 테이블..

안녕하세요. 도깬리 입니다. EnCase 화면을 구성하는 여러가지 항목들을 살펴 봅시다. 분석화면에 보이는 아이콘이나 기호들이 어떤 기능을 갖는지 알아야 원활하게 도구를 사용할 수 있겠죠. 오늘을 그 첫 시간입니다. 시작할까요? 로컬 드라이브 미리 보기 (Add Local Device) [Detect Tableau Hardware] 체크하면, EnCase가 Tableau 장치를 인식하게 됩니다. 그리고 EnCase Report에 Tableau 라고 표시가 되죠. [Only Show Write Blocked] 쓰기방지된 것만 보이게 합니다. [Detect Legacy FastBloc] 오래된 FastBloc 시그너처도 인식가능하게 합니다. [Enable DCO Removal] DCO (Device Conf..

(P3, CD ; 1-4, 04:38, MP3 ;1/24, 18:00) Jandali was the youngest of nine children in a prominent Syrian family. His father owned oil refineries[8] and multiple other businesses, with large holdings[9] in Damascus and Homs, and at one point pretty much controlled the price of wheat[10] in the region. His mother, he later said, was a “traditional Muslim woman” who was a “conservative, obedient[11]..

안녕하세요. 도깬리입니다. 환경설정 두번째 시간입니다. [Colors] EnCase 인터페이스의 색깔을 결정합니다. [Fonts] 폰트의 모양을 결정합니다. [Data Paths] [Shared Files Location] 공유 데이터의 저장 위치를 지정합니다. [User Data Folders] 사용자 생성 파일 및 백업 데이터의 저장 위치를 지정합니다. [User Application Data Folders] 환경설정 파일 및 임시 파일, EnCase의 설치 폴더의 저장 위치를 지정합니다. [Debug] 프로그램에 문제 발생시, 문제의 원인을 파악하는 용도로 사용됩니다. [Save All] Global Options 설정 내용을 저장합니다. 이것를 선택하면 최근 작업으로 변경된 케이스 및 모든 설정이..

(P2, CD ; 1-4, 01:49, MP3 ;1/24, 15:12) Clara was born in New Jersey, where her parents had landed after fleeing[4] the Turks in Armenia, and they moved to the Mission District of San Francisco when she was a child. She had a secret that she rarely mentioned to anyone: She had been married before, but her husband had been killed in the war. So when she met Paul Jobs on that first date, she was p..

EnCase 환경 설정 EnCase의 환경 설정에 대해서 알아 봅시다. 설정을 잘 알게 되면 도구를 효율적으로 사용할 수 있습니다. 그럼 시작할까요.... Global options [Tool]-->[Options]를 찾아갑니다. 케이스에 대한 global 환경설정 옵션입니다. [Enable Picture Viewer] 갤러리뷰에서 사진을 볼 수 있게 합니다. [Enable ART image display] AOL의 ART 파일은 IE에서 지원하지 않는데 반해, EnCase에서는 지원합니다. [Invalid picture timeout] 손상된 사진을 읽지 않고 그냥 패스하여 속도를 향상시킵니다. 즉 12초 안에 사진이 열리지 않으면 해당 파일은 임시 저장하고 그냥 패스한다는 얘기죠. [Force ord..

안녕하세요. 도깬리입니다. EnCase에서 Case를 생성하고 관리하는 기능에 대해 알아봅시다. 기본 폴더 먼저 케이스를 만들어야겠죠. 케이스 만들면 Email, Export, Searches, Tags, Temp와 같은 폴더가 자동으로 생성됩니다. 그리고 새로운 장치나 증거 파일을 케이스에 추가하면 EvidenceCache 폴더가 생성되죠. EvidenceCache 폴더 EvidenceCache 폴더에는 프로세싱이나 장치에 대한 캐시 작업에 따른 결과물이 저장됩니다. 이런 폴더는 분석관이 원하는 곳에 만들어 두면 됩니다. Export 폴더 Export 폴더는 일반적인 destination 폴더의 역할을 합니다. 분석결과물을 내보내기 할 때 이곳을 지정하죠. Tags 폴더 Tag 폴더는 사용자가 정의한 ..