Event Log 와 Registry Log 는 분리되어 있는데 이 Log 들을 한번에 볼 수 있다. 그리고 간단하게 필터링하는 방법과 Column 에서 어떠한 정보를 보여주는지 확인해보겠다. 우선 Evidence Page 로 이동한다. 그리고 Entries 부분에서 Homa Plate button 을 클릭한다. 그럼 Table pane 에 하위 Files 를 나타내준다. 하위 File 등 아무 File 들을 나타내주긴 나타내준다. 이 모든 File 들을 Category Tab 에서 분류를 하고 있다. 당연히 해당 File 이 어떻게 분류가 되는지 분류가 되어야 한다. 그런데 이 분류가 어디서 구분을 하는것이냐면, 당연히 File Signature 기반으로 분석을 해서 Category 를 분류해야 한다...

Records -> Evidence Processor Module Results -> Windows Artifact Parser -> Windows Artifact Parser -> Link Parser -> Link Files 경로에서 Link Analysys 을 진행해보겠다. ​상단에 체크박스 Selected 를 선택하면 Table pane 에 표시되는 Item 이 전부다 체크가 된다. Item 이 전부다 체크된 상태에서 다시 체크된 박스를 클릭하면 선택되었던 Item 이 해제가 된다. EnCase 의 특징이 숨겨진 메뉴가 상당히 많다. Table pane 안에서 우측 상단에 현재 빨간네모로 표시된 부분의 검정 삼각형 아이콘을 클릭한다. ​검정삼각형을 클릭하면 또 다른 메뉴가 나온다. 여기서 Save..

EnCase v7 Processor 기능을 이용하여 Parker's HDD 를 분석해 보겠다. Processor 기능을 적용할 Parker's HDD 를 선택하고 상단에 Process Evidence 아이콘을 클릭하면 하단에 Process , Acquire , Acquire and Process 옵션창이 나타난다. 여기서 Process 옵션을 클릭하여 실행한다. 실행하면 EnCase Processor Options 창이 나타난다. 이 Options 에서 Recover Folders , File signature analysis , Protected file analysis , Thumbnail creation , Hash analysis , Expand compound files , Find email ..

분석을 위한 Option 으로 Processor 기능이 있다. 우선 분석할 Evidence 를 선택하고 작업을 진행한다. 분석 대상 Evidence 를 선택하고 상단 메뉴에서 Process Evidence 아이콘을 클릭하면 위와 같이 3개의 기능이 나타난다. Process , Acquire , Acquire and Process 여기서 Process 기능을 클릭한다. EnCase Processor Options 창이 나타난다. 여기서 다양한 Option 을 선택하여 분석을 할 수 있다. Recover Folders Option 폴더 구조에 대해서 복구를 해주는 Option 이라 반드시 선택을 한다. 붉은 느낌표가 붙어있는 Option 은 필수로 선택해야 된다는 뜻이다. File signature anal..

EnCase v7 에는 소프트웨어 방식의 쓰기방지 기능을 제공한다. 메뉴 - Tools 탭에서 FastBloc SE... 을 실행한다. 실행하면 FastBloc SE 옵션창이 나타난다. 여기서 확인해야할 부분을 빨간 네모로 표시해 놓았다. 중간에 녹색게이지 부분 Waiting for PnP Device insertion 부분은 Plug n Plug 상태를 계속 확인한다. 즉 현재 Choose mode and insert device 에서 Write Blocked 옵션에 체크를 한 상태인데 지금 이 상황에서 USB 나 저장매체를 연결하면 그 연결된 장비가 Write Blocked 상태로 연결이 된다는 의미이다. ​ USB 를 꽂으니 4번 항목에 LG USB 가 연결된 것이 나타나며 Write Protect..

현재 Evidence Case 에서 Add Evidence 위치를 나타내고 있다. 여기서 Add Evidence File 을 클릭한다. 그럼 추가할 수 있는 Ex01 Format Image File 2개가 나타난다. 요즘 나온 Image 는 Ex01 로 배포를 한다. 교육용이라든지, EnCE 시험이라든지 Ex01 로 배포를 한다. EnCE 의 경우 예전에 Image File 이 공유가 잘되었는데 요즘은 허용되지 않은 시험자 이외에는 풀어보지 못하게 사전에 차단한다. BParker.Ex01 선택하여 추가한 화면이다. 그럼 해당 Imaging 을 할 때 저장했던 Case Name 이 보여진다. 현재 BParker.Ex01 의 경우 Imaging 할 때 Parker's HDD 라고 Case Name 을 저장하..