도깬리포렌식스

안녕하세요. 도깬리포렌식스입니다. 오늘은 EnCase에서 검색결과를 어디에서 어떻게 보는지 살펴 보겠습니다. 시작하겠습니다.^^ 검색결과 보기 인덱스 검색 결과 보는 탭 Transcript 탭을 이용합니다. 키워드 검색 결과 보는 탭 Text 탭을 이용합니다. 인덱스 검색 결과를 조사하는 방법 Transcript 뷰는 개체 내에서 사용자가 읽을 수 있는 텍스트를 추출해서 보여 주기 위해 코드 부분을 제거한 것입니다. Doc 뷰와 Transcript 뷰의 경우 슬랙 데이터 영역은 보여주지 않습니다. Doc 뷰에서는 파일의 헤더(시그너처)를 참고하여 파일 내의 데이터를 해석해서 보여줍니다. 인덱스 검색 결과를 조사하기 위해 압축 뷰(Compressed View)를 사용합니다. 검색 결과에서 윈도우 디렉토리 ..

안녕하세요^^ 도깬리 포렌식스 입니다. 오늘은 선별작업과 분석의 핵심이라고 할 수 있는 Raw 검색 (또는 키워드 검색, Keywords Search)에 대해 알아 봅시다. 시작합니다. RAW 검색 키워드 검색(Raw 검색)은 raw binary 만을 검색하기 때문에 복합파일, 압축파일 등 일부 파일의 경우 검색이 되지 않을 수도 있다. (따라서 이들 파일은 마운트를 먼저 한 다음 키워드 검색을 수행해야 함) 키워드 검색의 경우 메타데이터(파일 헤더값)는 검색되지 않는다. 키워드 검색의 시작 위치 물리적 드라이브 전체를 대상으로 할 경우 [Evidence] -> [Raw Search All] 선택된 일부 엔트리를 대상으로 할 경우 [Entry] -> [Raw Search Selected] Raw 키워드 ..

안녕하세요. 도깬리포렌식스입니다. ^^ 오늘은 EnCase의 검색 기법에 대해 살펴 봅시다. 디지털 포렌식 분석은 끝없는 검색의 연속과 다를 바 없습니다. EnCase는 다양한 검색 옵션을 제공하고 있습니다. 검색 스킬을 익히려면 우선 검색 기능에 대해서 잘 알고 있어야겠죠. 3가지 검색 기법 태그 검색 사용자가 분석화면에서 선택한 엔트리에 대해 태그하고, 그 태그된 것만을 대상으로 검색합니다. 즉, 검색 이전에 태그를 하여야 하겠죠. 인덱스 검색 인덱스(색인)를 만들고, 그 인덱스를 대상으로 검색합니다. 즉, 검색 이전에 인덱스를 만들어야 하겠죠. Raw 검색 Raw 데이터를 대상으로 검색합니다. 즉, 검색 이전에 키워드를 만들어야 하겠죠. 태그 검색 여러분이 책을 볼 때 중요한 부분, 나중에 다시 볼..