도깬리포렌식스

안녕하세요. 도깬리포렌식스입니다. 오늘은 EnCase에서 검색결과를 어디에서 어떻게 보는지 살펴 보겠습니다. 시작하겠습니다.^^ 검색결과 보기 인덱스 검색 결과 보는 탭 Transcript 탭을 이용합니다. 키워드 검색 결과 보는 탭 Text 탭을 이용합니다. 인덱스 검색 결과를 조사하는 방법 Transcript 뷰는 개체 내에서 사용자가 읽을 수 있는 텍스트를 추출해서 보여 주기 위해 코드 부분을 제거한 것입니다. Doc 뷰와 Transcript 뷰의 경우 슬랙 데이터 영역은 보여주지 않습니다. Doc 뷰에서는 파일의 헤더(시그너처)를 참고하여 파일 내의 데이터를 해석해서 보여줍니다. 인덱스 검색 결과를 조사하기 위해 압축 뷰(Compressed View)를 사용합니다. 검색 결과에서 윈도우 디렉토리 ..

안녕하세요^^ 도깬리 포렌식스 입니다. 오늘은 선별작업과 분석의 핵심이라고 할 수 있는 Raw 검색 (또는 키워드 검색, Keywords Search)에 대해 알아 봅시다. 시작합니다. RAW 검색 키워드 검색(Raw 검색)은 raw binary 만을 검색하기 때문에 복합파일, 압축파일 등 일부 파일의 경우 검색이 되지 않을 수도 있다. (따라서 이들 파일은 마운트를 먼저 한 다음 키워드 검색을 수행해야 함) 키워드 검색의 경우 메타데이터(파일 헤더값)는 검색되지 않는다. 키워드 검색의 시작 위치 물리적 드라이브 전체를 대상으로 할 경우 [Evidence] -> [Raw Search All] 선택된 일부 엔트리를 대상으로 할 경우 [Entry] -> [Raw Search Selected] Raw 키워드 ..

안녕하세요^^ 도깬리 입니다. 즐거운 연휴가 시작되었네요. 오늘은 EnCase 인덱스 검색 두번째 시간입니다. 출발해볼까요? 인덱스 결과 보기 [Search]탭의 [Transcript]뷰에서 검색결과를 확인합니다. 검색단어를 바꾸어 조사를 계속할 때에는 이전 검색단어로 인한 검색 결과는 별도 저장을 해 두는게 좋습니다. 인덱싱 결과 저장하기 Search 탭 -> [Results] -> [Create Results] 에서 결과를 저장합니다. 인덱스 검색이 수행될 때 마다 Search 라는 엔트리가 생성됩니다. 이것은 수행될 때마다 Search 엔트리에 반영이 됩니다. (휘발성) 따라서 인덱스 검색이 수행될 때 마다 그 결과를 따로 저장하는게 좋습니다. Case 폴더 아래 Results 폴더에 그 결과 데이..

안녕하세요^^ 도깬리 포렌식스입니다. 오늘은 인덱스(색인)에 대해서 알아 볼려고 합니다. 사실 인덱스 분석은 매우 훌륭한 분석기법임에도 불구하고 키워드 분석에 비해 상대적으로 많이 사용하지는 않습니다. 한번 만들어 두기만 하면 매우 빠르게 찾고자 하는 데이터를 검색할 수 있는데도 말이죠. 우리나라 사람들은 성격이 많이 급하잖아요. 인덱스를 만드는데 수일이 걸릴 때도 있어서 그걸 못 기다리는 거죠^^. 이제 시작해볼까요. 인덱스 검색 옵션 개요 모든 키워드 또는 특정 키워드 검색하는 방법 기본적으로 모든 키워드를 포함하는 아이템을 검색한다. 예) George Washington à George와 Washington을 검색 OR 오퍼레이터 키워드 중 하나만 검색한다. 예) George OR Washingto..