EnCase 107

[EnCase] 검색 결과 조사하는 방법

안녕하세요. 도깬리포렌식스입니다. 오늘은 EnCase에서 검색결과를 어디에서 어떻게 보는지 살펴 보겠습니다. 시작하겠습니다.^^ 검색결과 보기 인덱스 검색 결과 보는 탭 Transcript 탭을 이용합니다. 키워드 검색 결과 보는 탭 Text 탭을 이용합니다. 인덱스 검색 결과를 조사하는 방법 Transcript 뷰는 개체 내에서 사용자가 읽을 수 있는 텍스트를 추출해서 보여 주기 위해 코드 부분을 제거한 것입니다. Doc 뷰와 Transcript 뷰의 경우 슬랙 데이터 영역은 보여주지 않습니다. Doc 뷰에서는 파일의 헤더(시그너처)를 참고하여 파일 내의 데이터를 해석해서 보여줍니다. 인덱스 검색 결과를 조사하기 위해 압축 뷰(Compressed View)를 사용합니다. 검색 결과에서 윈도우 디렉토리 ..

EnCase 2022.01.31

[EnCase] RAW 검색 (Keywords 검색) 하기

안녕하세요^^ 도깬리 포렌식스 입니다. 오늘은 선별작업과 분석의 핵심이라고 할 수 있는 Raw 검색 (또는 키워드 검색, Keywords Search)에 대해 알아 봅시다. 시작합니다. RAW 검색 키워드 검색(Raw 검색)은 raw binary 만을 검색하기 때문에 복합파일, 압축파일 등 일부 파일의 경우 검색이 되지 않을 수도 있다. (따라서 이들 파일은 마운트를 먼저 한 다음 키워드 검색을 수행해야 함) 키워드 검색의 경우 메타데이터(파일 헤더값)는 검색되지 않는다. 키워드 검색의 시작 위치 물리적 드라이브 전체를 대상으로 할 경우 [Evidence] -> [Raw Search All] 선택된 일부 엔트리를 대상으로 할 경우 [Entry] -> [Raw Search Selected] Raw 키워드 ..

EnCase 2022.01.30

[EnCase] 인덱스 검색 (2)

안녕하세요^^ 도깬리 입니다. 즐거운 연휴가 시작되었네요. 오늘은 EnCase 인덱스 검색 두번째 시간입니다. 출발해볼까요? 인덱스 결과 보기 [Search]탭의 [Transcript]뷰에서 검색결과를 확인합니다. 검색단어를 바꾸어 조사를 계속할 때에는 이전 검색단어로 인한 검색 결과는 별도 저장을 해 두는게 좋습니다. 인덱싱 결과 저장하기 Search 탭 -> [Results] -> [Create Results] 에서 결과를 저장합니다. 인덱스 검색이 수행될 때 마다 Search 라는 엔트리가 생성됩니다. 이것은 수행될 때마다 Search 엔트리에 반영이 됩니다. (휘발성) 따라서 인덱스 검색이 수행될 때 마다 그 결과를 따로 저장하는게 좋습니다. Case 폴더 아래 Results 폴더에 그 결과 데이..

EnCase 2022.01.29

[EnCase] 인덱스 검색 (1)

안녕하세요^^ 도깬리 포렌식스입니다. 오늘은 인덱스(색인)에 대해서 알아 볼려고 합니다. 사실 인덱스 분석은 매우 훌륭한 분석기법임에도 불구하고 키워드 분석에 비해 상대적으로 많이 사용하지는 않습니다. 한번 만들어 두기만 하면 매우 빠르게 찾고자 하는 데이터를 검색할 수 있는데도 말이죠. 우리나라 사람들은 성격이 많이 급하잖아요. 인덱스를 만드는데 수일이 걸릴 때도 있어서 그걸 못 기다리는 거죠^^. 이제 시작해볼까요. 인덱스 검색 옵션 개요 모든 키워드 또는 특정 키워드 검색하는 방법 기본적으로 모든 키워드를 포함하는 아이템을 검색한다. 예) George Washington à George와 Washington을 검색 OR 오퍼레이터 키워드 중 하나만 검색한다. 예) George OR Washingto..

EnCase 2022.01.28

[EnCase] EnCase의 검색 기능 소개

안녕하세요. 도깬리포렌식스입니다. ^^ 오늘은 EnCase의 검색 기법에 대해 살펴 봅시다. 디지털 포렌식 분석은 끝없는 검색의 연속과 다를 바 없습니다. EnCase는 다양한 검색 옵션을 제공하고 있습니다. 검색 스킬을 익히려면 우선 검색 기능에 대해서 잘 알고 있어야겠죠. 3가지 검색 기법 태그 검색 사용자가 분석화면에서 선택한 엔트리에 대해 태그하고, 그 태그된 것만을 대상으로 검색합니다. 즉, 검색 이전에 태그를 하여야 하겠죠. 인덱스 검색 인덱스(색인)를 만들고, 그 인덱스를 대상으로 검색합니다. 즉, 검색 이전에 인덱스를 만들어야 하겠죠. Raw 검색 Raw 데이터를 대상으로 검색합니다. 즉, 검색 이전에 키워드를 만들어야 하겠죠. 태그 검색 여러분이 책을 볼 때 중요한 부분, 나중에 다시 볼..

EnCase 2022.01.27

[EnCase] EnCase의 분석 기능 (Evidence Processing)

안녕하세요. 도깬리 입니다. 오늘은 EnCase의 Evidence Processing에 대해서 알아 봅시다. 사건의 유형과 분석의 우선순위를 고려하여 선택적인 프로세싱이 분석의 효율성을 높여 줍니다. 시작해볼까요? 참고로 아래의 붉은 색 표시는 필수 기능입니다. 어떤 사건이든 반드시 분석이 필요한 기능이라고 할 수 있겠지요. 증거 프로세서(Evidence Processor) 실행하기 프로세서 세팅 툴바 [Split Mode] 옵션 디스플레이 모드를 변경합니다. [Save Settings] 현재 선택한 프로세싱을 템플릿으로 저장합니다. 나중에 바로 활용 가능하겠죠. [Load Settings] 저장된 템플릿를 불러옵니다. [Edit] 선택한 프로세서의 하위 옵션을 선택할 수 있습니다. [Prioritiza..

EnCase 2022.01.26

[EnCase] EnCase Processing 준비하기

안녕하세요. 도깬리 입니다.^^ 오늘은 EnCase에서 분석 대상 증거물을 프로세싱하는 것을 알아 봅니다. EnCase 증거 프로세서 (Evidence Processor) 증거 이미지를 케이스에 추가한 후 제일 먼저 해야 할 것은 Evidence Processing 입니다. 증거 프로세싱 작업은 다음과 같은 순서대로 진행합니다. 1. Add Image 2. Recovery Partition 과 암호화된 드라이브 복호화 3. Time Zone 확인 4. Evidence Processing 실행 프로세싱할 증거 데이터 준비 조사 대상 증거물을 준비합니다. 케이스에 증거 추가하기 이미 만들어 둔 케이스에 증거물을 추가합니다. 모든 물리적 디스크 영역 드러내기 Evidence Processing을 하기 전에 드..

EnCase 2022.01.25

[EnCase] EnCase 이미징 (Imaging) 방법을 알아 보자!

주말 잘 쉬셨어요? 도깬리입니다.^^ 오늘은 EnCase로 디지털 기기를 이미징(Imaging)하는 것을 설명합니다. 디지털 포렌식에서 이미징만큼 중요한 것도 없죠. 이미징이 없이는 분석도 없으니까요. 자, 시작해볼까요. 장치 이미징하기 – Location 탭 [Name] Case에 표시될 Evidence 이름 입니다. 이미지 파일의 헤더에 저장됩니다. [Evidence Number] 증거번호 입니다. 이미지 파일의 헤더에 저장됩니다. [Case Number] 사건번호 입니다. 이미지 파일의 헤더에 저장됩니다. [Examiner Name] 이미징을 처리한 조사자 이름을 기입합니다. [Notes] 간단한 메모를 입력할 수 있습니다. 이미지 파일의 헤더에 저장됩니다. [Restart Acquisition] ..

EnCase 2022.01.24

[EnCase] EnCase의 Case 파일과 이미징 작업 준비

안녕하세요. 도깬리입니다.^^ 즐거운 일요일입니다. 오늘은 증거분석의 첫 단추인 Case 파일에 대해 알아봅니다. 그리고 쓰기방지장치 연결에 대해서도 설명합니다. 시작합니다. 케이스 파일 (Case file) 케이스에 대한 정보를 저장하는 텍스트 파일입니다. 모든 증거이미지, 미리보기한 장치, 검색 결과등에 대한 포인터를 저장하고 있습니다. 쉽게 말하면 분석한 결과에 대한 모든 정보를 포함한다는 의미입니다. 케이스 저장의 기본 폴더 User Data folder를 임의로 지정하면 그것이 기본 폴더가 됩니다. 케이스 백업 파일 케이스 파일에 대한 자동 저장 백업파일입니다. 케이스 백업 파일의 기본 위치 C:\Users\\My Documents\EnCase\Cases\Backup CaseRevisionFil..

EnCase 2022.01.23

[EnCase] EnCase의 증거이미지 (E01, Ex01)

안녕하세요. 도깬리입니다. 오늘은 EnCase의 증거이미지에 대해 알아 봅니다. EnCase의 증거이미지 포맷은 전세계적으로 가장 많이 사용되는 포맷 중 하나랍니다. 그럼 시작할까요? EnCase 증거이미지 레거시(과거) 포맷 : .E01 현재 포맷 : .Ex01 EnCase 레거시 E01 포맷 증거이미지 헤더 이미징시 사용자가 입력한 정보가 포함됩니다. 세그먼트 크기, 개수, 압축 여부, 증거이미지 이름, 메모, 패스워드가 헤더에 저장됩니다. 헤더 정보는 자동으로 압축됩니다. 순환 중복 검사 (Cyclical Redundancy Check, CRC) checksum 의 변형된 형태입니다. CRC 값은 데이터의 순서열과 상관 관계가 있습니다. 즉 스트링 1234 와 4321의 체크섬값은 동일하 CRC 값..

EnCase 2022.01.22