메뉴에 Add Evidence 탭을 보면 Add Raw Image 기능이 있다. Raw Image 같은 경우는 흔히 알려지지 않은 File System 이라던지, Format 을 통해 만들어진 확장자이고, Image File 이 있으면 활용이 가능하다. Smart phone dump 는 바이너리 binary 형태이므로 binary dump 를 만들어야 한다. 아직 Smart phone forensic 쪽 특징은 E01 처럼 정형화된 Format 이 없다. binary dump 를 만들게 되는데 확장자도 다르고 앞,뒤에 데이터를 붙이게 된다. binary dump 를 가지고 있는건 분명하지만, 확장자 정리도 안되고 그러다 보니 개발사 자기들 만의 솔루션으로만 분석해야 한다. 타 솔루션을 통해 분석할 수 없..

증거를 불러오면 EnCase는 디폴트로 Evidence탭에서 트리-테이블 화면을 보여준다. 이 화면은 베테랑 EnCase사용자에게는 매우 익숙하며 자주 사용했던 화면이겠지만, 화면만 그런 것이 아니다. EnCase에서 사건 엔트리의 트리-테이블 화면은 주된 분석 기능의 이름을 따서 지은 세 개의 창 트리 창(Tree pane), 테이블 창(table pane), 보기 창(View pane)으로 구성 돼 있다. 트리 창부터 테이블 창, 마지막으로 보기 창으로 이동을 하면 정보의 기본 단위나 세부 사항이 증가한다. 대상(물리 장치나 볼륨 또는 폴더)에 대해 세부적인 것을 원한다면 트리 창에서 커서로 대상을 선택(hightlight(대상을 선택하면 선택됐다는 것을 알려주기 위해 선택된 대상의 배경이 바뀌는데 ..

메뉴에서 Add Evidence -> Add Local Device.. 를 클릭한다. Add Local Device 창이 나타난다. 이미징 작업과 데이터 수집하는 방식을 설정하는 화면이다. 제일 위에 Detect Tableau Hardware 옵션은 가이던스사가 영업냄새가 나는게, Tableau 자체가 쓰기방지장치로 유명한 회사인데 이 회사를 인수하였다. 웬만한 Interface 를 지원하는데, 인지도가 높아지니 가이던스사가 인수를 했고 이런식으로 모듈이 올라와 있다. 아래 옵션인 Only Show Write-blocked는 쓰기방지가 되어 있는 장치만 볼건지 체크해서 볼 수 있는 옵션이다. Detect Legacy FastBloc 기능은 소프트웨어 방식으로 쓰기방지기능을 한다. EnCase v7에 자체..

Case 를 관리하는 Case 메뉴가 있고, 현재 Evidence Case 가 생성되어 활성화 된걸 확인할 수 있다. 현재 Evidence 라는 사건명으로 사건이 만들어진 상태이다. 각 메뉴를 살펴보면 Case(Evidence) -> Case Backup -> Case Backup 에 대한 메뉴이다. EnCase 를 다루면서 제일 많이 사용하는 View 메뉴다. 분석한 결과들이 View 메뉴를 통해 탭 형식으로 확인할 수 있다. 웹 브라우저에서는 탭이 추가가 된다. 그런 형식으로 EnCase v7 에서도 결과가 탭이 추가되는 식으로 설계되어 있다. Tools 메뉴는 도구를 사용해서 작업을 할 경우에 Tools 메뉴에 있는 기능을 사용한다. EnScript 메뉴는 별도로 Script 를 등록해서 사용할 수..

Evidence Cache 분석한 데이터를 파일단위로 저장하게 된다. 만약 이 Evidence Cache 를 지워버리면, 뭐지 하면서 지워 버리면, 뭐지 하면서 분석한 데이터가 지워져 버린다. 이 부분이 왜 중요하냐면 분석하려면 Work Station 이 있어야 한다. 사양이 좋고, Multi Core 이고 64GB RAM 을 사용하여도 1TB, 2TB DISK 분석을 하면 상당히 오래 걸린다. 그렇게 상당히 오래 걸려서 분석한 Evidence Cache 를 지우면, 지워버리게 된다. 만약 파일 정리할 때 뭐지 하고 지워버리면, 분석한걸 지워버리게 된다. Evidence Cahce 는 상당히 중요하다. EnCase 를 처음 실행하면 UI 자체가 위와 같다. 웹 브라우저 UI 를 따라간다고 만들어 놓은게 ..

EnCase 가 많이 쓰이는 이유는 경찰기관에서 상당히 많이 쓰기 때문이다. EnCase v6 부터 국내에 들어 왔고, 국내에 제일 많이 들어온 Version 이다. EnCase v7 새로운 기능 ​ 사용자에게 직관적인 분석이 용이한 GUI 제공 Evidence Cache 기능을 통해 Case 처리 시간 다축 Indexing 엔진의 효율 증가로 검색 기능 향상 사용자가 수정 가능한 보고서 템플릿 기능 추가 스마트폰 분석 기능 제공 파일시스템 분석 추가 지원(Ext4, HFSX, Microsoft@2010..) EnCase Decryption Suite(ED5) Module EnCase Physical Disk Emulation(PDE) Module EnCase Virtual File System(VFS)..