1. EnCase에서 Keyword 검색하기이번 포스팅에서는 EnCase에서 제공해주는 기능 중 하나인Keyword Search를 사용하는 방법에 대해 알아보도록 하겠습니다.1-1) Keyword Search이미지 파일에 저장되어 있는 키워드를 찾아야 하는 경우가 종종 있을 것입니다. 예를 들어 용의자의 계좌번호 혹은 메모 같은 것들이 있겠네요. EnCase에서는 Processor를 통해 키워드 검색을 수행할 수 있습니다. Evidence 홈에서 상단의 Process Evidence를 선택하고 Process를 해줍니다.프로세서 옵션을 보면 Search for keywords가 있습니다. 이 항목을 체크해주고 더블클릭해서 값을 지정해주면 됩니다.아래 그림과 같이 창이 열리는데 New를 눌러 새 키워드를 생..
1. EnCase에서 Condition 사용하기이번 포스팅에서는 EnCase에서 제공해주는 기능 중 하나인Condition를 사용하는 방법에 대해 알아보도록 하겠습니다.1-1) ConditionEnCase의 화면 구성에서 하단의 Filter/EnScript Pane에 보면 Conditions라는 것이 있습니다. 이는 파일에 대해 조건문을 수행한다고 보면 되겠습니다. 컨디션은 기본적으로 EnCase에서 제공해주는 것이 있고 사용자가 직접 만들어서 사용할 수도 있습니다. 이번 포스팅에서는 사용자가 만드는 방법에 대해 알아보겠습니다.위의 그림에서 Users 폴더를 선택하고 New를 눌러 새로운 컨디션을 생성해야 합니다. 그러면 아래 그림과 같은 창이 뜨게 되는데 컨디션을 저장할 경로를 지정해주고 if New를..
1. EnCase에서 Hash 구하기이번 포스팅에서는 EnCase를 활용해서 Hash와 관련있는 기능을 다뤄보겠습니다. 해시값을 측정하고 이미지 파일에 특정 해시값이 존재하는지 검색해보는 것을 해보겠습니다.1-1) 파일 해시값 계산하기(소수 파일 해시값 구하기)아래 사진을 보면 Image라는 폴더에 여러가지 그림파일들이 있는것을 확인할 수 있습니다. 해당 폴더의 파일들을 대상으로 해시값을 계산하는 방법에 대해 알아보겠습니다.좌측의 Tree Pane에서 체크박스에 체크를 해주면 해당 폴더의 모든 파일이 선택됩니다. 그리고 Table Pane에서 우클릭을 하고 Entries->Hash/Sig Selected...를 선택해줍니다.그러면 아래그림과 같은 창이 뜨는데 해시값을 계산할 수도 있고 파일시그니처를 검증..
1. EnCase에서 삭제된 파티션 복구하기안녕하세요 EnCase에 대해 다루는 두번째 포스팅을 시작해보겠습니다. 타이틀을 EnCase에서 삭제된 파티션 복구하기라고 적었는데요. 사실 삭제라기 보다는 파티션을 숨겨놓았다고 해야할지..?MBR의 Partition Table 영역에서 특정 파티션에 대한 값이 지워져있을 때 인식되지 않는 파티션을 다시 인식시키는 과정을 다뤄보겠습니다.1-1) EnCase에 이미지 파일 마운트EnCase Version : EnCase Forensic Training v20.2Image File OS : Windows 10첫 번째 포스팅에서 진행했던 것처럼 이미지 파일을 EnCase에 올려준 후 Tree Pane에서 증거 파일을 선택하고 하단의 Report 탭을 눌러서 정보를 확..
1. EnCase?디지털포렌식을 수행할 때 사용하는 툴로 가장 널리 알려진 프로그램 중 하나인EnCase에 대해서 포스팅을 해보겠습니다. EnCase는 OpenText사(구 Guidance Software)에서 제공하는 프로그램입니다. 꽤 오래전부터 디지털포렌식 업무에 사용이 되어왔는데요, 미국 법정에서 EnCase를 사용해서 확보한 디지털 증거를 많이 채택해왔기 때문에 공신력 있는 프로그램으로 평가를 받고 있습니다. 요즘은 Magnet Forensics사의 AXIOM, Nuix사의 NUIX 등 뛰어난 프로그램들이 많이 있어서 입지가 줄어들긴 했지만요.저도 EnCase를 깊게 사용해보지는 않았습니다만 디스크 이미지를 분석하는데 유용하게 사용할 수 있으며 EnScript라는 프로그래밍 기능을 제공하여 정말..
