EnCase 107

[EnCase] 해시값(Hash Value)과 해시분석 (2)

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 해시분석 두번째 시간이네요. 해시분석(Hash Analysis)을 할려면 해시 데이터베이스가 필요하겠죠. 해시 데이터베이스(또는 해시 라이브러리)를 구성하거나 추가하는 방법, 공개된 해시DB를 활용하는 방법을 알아 보겠습니다. 해시 라이브러리 만들기 [Tools] -> [Manage Hash Library…]를 선택합니다 해시 라이브러리에서 해시값을 갖는 해시셋 생성하기 해시셋에 포함시킬 파일에 대한 해시값을 미리 계산합니다. [Entries] -> [Hash\Sig Selected…]를 선택하여 실행합니다. 원하는 해시 라이브러리를 Case에 연결하는 방법 [Cases] -> [Hash Libraries…]를 선택합니다. Primary 해시 라이브러리의 Ha..

EnCase 2022.02.10

[EnCase] 해시값(Hash Value)과 해시분석 (1)

안녕하세요. 도깬리 입니다.^^ 오늘부터는 해시값(Hash Value)과 해시분석(Hash Analysis)에 대해 설명을 합니다. 디지털 포렌식에서 해시값은 디지털 증거의 무결성을 입증할 수 있는 기술적인 수단입니다. 아마도 디지털 포렌식에서 가장 중요하고 자주 언급되는 용어가 아닐까 생각해봅니다. 시작해볼까요? 해시분석이란 파일의 해시값을 해시값 DB(Hash Library)의 Hash value table(Hash Set)에 등록된 해시값과 비교하는 방법으로 대량의 파일을 분석하는 기법을 말합니다. EnCase는 MD5와 SHA1 알고리즘이용하여 해시값을 계산할 수 있습니다. MD5의 경우 32개의 Hex로 표시됩니다. 두 개의 파일이 같은 MD5 해시값을 가질 확률(해시값 충돌 가능성)은 2의 1..

EnCase 2022.02.09

[EnCase] 파일 시그너처 분석 (File Signature Analysis) (3)

안녕하세요. 도깬리 포렌식스입니다. 오늘은 시그너처 분석 마지막 시간입니다. 시그너처를 분석한 후 결과를 보는 방법을 살펴봅니다. 시그너처 분석 결과를 확인하기 위해 Filter를 실행하는 방법 [Filter] -> [Find Items by Signature]을 선택합니다. 3가지 옵션 [Current View] 필터 대상 : 현재뷰의 모든 개체를 대상으로 합니다. 결과 출력 : 동일 탭에 그대로 보여줍니다. [Current device] 필터 대상 : 하이라이트된 장치 안의 모든 개체를 대상으로 합니다. 결과 출력 : Results 탭에서 보여줍니다. [All Evidence Files] 필터 대상 : 케이스 안의 모든 증거이미지를 대상으로 합니다. 결과 출력 : Results 탭에서 보여줍니다. 시..

EnCase 2022.02.08

[EnCase] 파일 시그너처 분석 (File Signature Analysis) (2)

안녕하세요. 도깬리 입니다.^^ 오늘은 시그너처 분석 두번 째 시간 입니다. EnCase의 파일 시그너처 데이터베이스를 파일 타입 (File Types) 테이블이라고 합니다. 파일 타입 테이블의 각 요소에 대해 알아보고 시그너처를 추가하는 등 분석작업에 대해 살펴 봅시다. 파일 유형 (File Types) [View] -> [File Types]를 선택합니다. 파일 타입 테이블의 컬럼 설명 Name Extensions Category Viewer Header Signature 파일 타입과 관련된 헤더를 표시합니다. 키워드 스트링, GREP 표현식, 파일 카빙에 사용됩니다. 시그너처를 너무 짧게 하면 오탐율이 높아집니다. Header GREP Header Case Sensitive Footer Signat..

EnCase 2022.02.07

[EnCase] 파일 시그너처 분석 (File Signature Analysis) (1)

안녕하세요. 도깬리 포렌식스 입니다.^^ 오늘은 파일의 식별자인 시그너처(File Signature)에 대해 알아 봅시다. 파일 시그너처는 파일 카빙으로 복구하기 위해서 꼭 필요한 정보이죠. 그리고 확장자 변경 여부를 탐지하기 위한 중요한 정보이기도 합니다. 자, 시작합니다. 파일 시그너처 (File Signature) 파일 유형의 표준은 ISO(국제표준화기구)와 ITU-T(국제전기통신연합 산하 전기통신표준화 부문)에서 정합니다. 파일 헤더(File Header)는 파일의 확장자(File Extention)와 관련 있습니다. 윈도우의 경우, 파일 확장자로 파일 유형(File Types)을 결정하여 해당 응용프로그램과 연결시켜 줍니다. EnCase에서 파일 확장자에 대한 변경 여부 판별 방법 파일 시그너처..

EnCase 2022.02.06

[EnCase] 복사 옵션 (Copy Options)

안녕하세요^^ 도깬리 포렌식스 입니다. 오늘은 EnCase 분석환경에서 어떤 특정한 데이터를 윈도우 환경으로 복사하는(내보내는 or 추출하는) 여러가지 옵션과 기능에 대해 살펴봅시다. 복사하기 옵션 개요 Entries, Results, Search 뷰에서 [Copy files…], [Copy folders…] 옵션을 사용할 수 있습니다. 다른 뷰(예: Bookmark)에서는 [Go to File]을 선택한 다음, 이 옵션을 실행해야 합니다. Bookmark 에서 [Go to File]을 선택하게 되면 해당 Bookmark 탭 내에서 Entries 뷰로 전환 됩니다. EnCase V6에서는 이 경우, 뷰가 Evidence 탭으로 전환됩니다. Entries 뷰에서 하이라이트된 파일을 복사하기 [Logical..

EnCase 2022.02.05

[EnCase] 외부 뷰어 (External Viewer)

안녕하세요. ^^ 도깬리 포렌식스 입니다. 오늘은 외부 뷰어 (External Viewer)에 대해 설명합니다. 시작해볼까요? External Viewer EnCase에서 파일의 내용을 보는 3가지 방법 EnCase Internal Viewer Windows Associated Viewer User-Defined External Viewer 외부 뷰어 설치법 파일 유형별로 외부 뷰어를 설치할 경우 예) hwp [File types] -> [New] -> Signature, Extension, File viewer를 지정합니다. 공통으로 사용되는(해당 파일의 유형과는 무관한) 외부 뷰어를 설치할 경우 예) 곰플레이어 파일 엔트리에서 오른 마우스 -> [Open with] -> [File viewer]를 선..

EnCase 2022.02.04

[EnCase] 파일 타입 (File Types)

안녕하세요. 도깬리 포렌식스입니다. 오늘은 파일 타입(File Types)에 대해 알아봅시다. File Type 테이블뷰의 Description 컬럼은 객체의 속성, (할당되거나 삭제된) 상태, 기타 상세한 사항에 대한 설명을 보여줍니다. FAT 볼륨의 FAT 영역과 Directory Entry, NTFS 볼륨의 $MFT와 $Bitmap 파일을 읽어 그 내용을 Description 컬럼에 보여줍니다. Common Description 컬럼 엔트리 File, 속성 : Archive, Hidden, System, Read Only, Not indexed, Compressed, Encrypted File, , Hard Linked Hard Linked : 일반적으로 소프트웨어의 구버전과 하위 호환성을 제공하기..

EnCase 2022.02.03

[EnCase] 데이터 선별에 유용한 태깅 (Tagging) 방법

안녕하세요^^ 도깬리 포렌식스입니다. 북마킹(Bookmarking)과 태깅(Tagging)은 데이터에 대한 선별 작업때 아주 유용합니다. 그 중에서도 '태깅'은 데이터의 분류와 선별 작업을 할 때 시각적으로 분석을 원활하게 합니다. 시작해 볼까요? 태그 케이스 단위로 태그를 정의할 수 있습니다. 최대 태그수는 63개라고 합니다. 태그 생성하기 [Tags] -> [Manage Tags…] 아이템 태그하기 싱글 아이템 태그 [Tags]에서 해당 태그를 클릭하기만 하면 됩니다. 멀티 아이템 태그 먼저 여러 개의 아이템을 체크해 둡니다. [Tags] -> [Tag selected items…] 순서로 선택한 후, 해당 태그를 클릭합니다. 태그된 파일에 접근하는 방법 Tag 컬럼을 정렬해 봅니다. [View] -..

EnCase 2022.02.02

[EnCase] 북마킹 (Bookmarking) 하는 방법

안녕하세요^^ 도깬리 입니다. 오늘은 북마크를 활용하는 방법을 설명합니다. 북마크 기능을 잘 활용하면 효율적으로 EnCase를 쓸 수 있어요. 자, 시작합니다. 결과물을 북마킹 하기 북마크와 태깅은 분석결과를 보고서에 넣기 위한 준비절차입니다. 북마크 대상 싱글 아이템 그룹 아이템 하이라이트된 데이터 주석 싱글 아이템(Single item)을 북마크 하기 사진 파일은 사진까지 함께 북마크 됩니다. 사진 파일이 아닌 경우에는 지정된 메타데이터 정보가 표시됩니다. 선택된 여러 아이템(Selected item)을 북마크 하기 주석(Add Notes) 북마크 하기 최대 1000개의 문자를 입력할 수 있습니다. 북마크된 상태에서 엔트리 복사 및 이동 방법 반드시 북마크 엔트리의 번호 부분에 마우스 포인터를 올려 ..

EnCase 2022.02.01