EnCase v7 사건 추가하기

Evidence Cache

분석한 데이터를 파일단위로 저장하게 된다. 만약 이 Evidence Cache 를 지워버리면, 뭐지 하면서

지워 버리면, 뭐지 하면서 분석한 데이터가 지워져 버린다.

이 부분이 왜 중요하냐면

분석하려면 Work Station 이 있어야 한다. 사양이 좋고, Multi Core 이고 64GB RAM 을 사용하여도

1TB, 2TB DISK 분석을 하면 상당히 오래 걸린다.

그렇게 상당히 오래 걸려서 분석한 Evidence Cache 를 지우면, 지워버리게 된다.

만약 파일 정리할 때 뭐지 하고 지워버리면, 분석한걸 지워버리게 된다.

Evidence Cahce 는 상당히 중요하다.

 

EnCase 를 처음 실행하면 UI 자체가 위와 같다. 웹 브라우저 UI 를 따라간다고 만들어 놓은게 Link 형식으로 만들었다.

 

 

 

New Case 를 클릭한다.

 

 

 

Options 창이 뜬다.

 

01234

 

 

왼쪽 Templates Options 의 내용을 하나씩 클릭해보면 아래 Case information 내용이 하나씩 달라진다. 이게 무어냐면 Template 안에 Case information 을 사용자 스스로 만들어 낼 수 있다.

그리고 수정도 가능하다.

저 기능을 제이 많이 쓰는 게 경찰이다. 왜냐하면 현장에서 시간이 엄청 많이 쓸데 없이 소비한다.

그래서 미리 필요한 정보를 간단헤가 넣어 놓을 수 있게끔 만들어 놓는다.

현장은 수기내용도 써야하고, 이것 저것을 하는 바람에 엄청 복잡하다. 신경쓸 것도 많고.

어느 세월에 저 정보들을 수기로 하느냐? 몰론 수기도 인정한다.

그러나 간단하게 이 기능을 활용해 빠르게 입력하는 수사관이 상당히 많다.

이 기능을 잘 활용하면 피의자, 조사관, 수집관 등이 날짜, 이름, 사원번호 등 주요 필요 정보들만 입력해놓고 다음 작업으로 넘어가게 한다.

어느 누가봐도 누가 수집했고, 언제 했고, 누구 것이다, 아니면 사건명을 입력하거나 프로젝트명을 입력하거나 구분이 되도록 해야한다.

 

 

Name and location

Name - Case Name 를 만든다. 사건이름을 입력하는 곳이다.

보통 6자리(현재 날짜)_업체명/사람이름/회사명/프로젝트명 형식으로 만든다.

Base case folder - Case 를 저장할 path 이다.

Full case path - 입력한 Case Name 을 가지고 저장을 한다는 뜻이다.

 

 현재 Case Name 을 Evidence 라고 입력했다. 사건 이름이 Evidence 라는 뜻이다.

그럼 이 Evidence 라는 Cache 는 C:\users\B.H\Documents\EnCase\Cases

​경로에 C:\users\B.H\Documents\EnCase\Cases\Evidence\Evidece.Case

​라는  파일명으로 저장이 된다는 걸 의미한다.

그러니까 Base case folder 는 기본 저장되는 경로이고 Full case path 는 기본 저장되는 경로 내에 Name 명으로 저장되는 경로를 나타내고 있다.

 

 Evidence Cache locations

이 Option 은 Evidence Cache 파일을 별도의 저장장치에 저장하기 위해 경로를 지정해주는 옵션이다.

현재 Primary evidence cache 는 C:\Users\B.H\Documents\EnCase\EvidenceCache 에 저장이 된다는 의미이고 Secondary evidence cache 는 비어 있다.

Secondary evidence cache 경로를 다른 저장장치로 지정하고, 이 Secondary evidence cache 경로는 이전에 생성된 cache 만 저장이 된다.

Evidence cache 는 상당히 중요해서 분류를 해서 Case 저장할 Disk 따로, Backup 따로 저장하길 권장한다. 따로따로 운영을 권장하는 것이다. 즉, 조사 컴퓨터의 사양에 따라 결정하고, 만약 느리다고 판단되면 SSD 를 꽂아서 활용해야 한다.

 

 

Case 생성을 위해 하단에 OK 를 클릭하면 Options 창이 뜬다.

내용은 Allow “Backup location” and “Base case folder” on the same drive (C:) 라고 나오는데 Evidence Cache 저장 장소를 C: 에다가 할거냐고 경고하는 문구이다.

실제 기관에서는 외부 저장장치에다가 저장을 할 것이다.

예를 클릭한다.

 

그럼 또 Options 창이 뜬다. 이번에 뜬 내용은

Allow “Backup location” and “Primary evidence cahe” on the same drive (C:)

즉 하단에 Backup settiongs 옵션이 있다.  

자세히 보면 Backup every 30 minutes 가 설정되어 있는데

30분마다 매일 백업을 실행한다는 옵션에 체크가 되어 있는 부분이다.

그리고 백업되는 저장 경로가 C:\Users\B.H\Documents\EnCase\CaseBackup

​인데 Primary evidence cache 저장경로도 C: 이고, Backup 저장경로도 C: 에다 저장

했으므로 Backup 대한 중요성을 생각해주고 인지시켜주는 경고창이다.

예를 클릭한다

 

 

자, 그럼 위와 같이 Case 가 Evidence 라고 생성된 작업화면으로 활성화가 되었다.

즉 새로운 Evidence 이라는 사건을 만들었고, 이제 이 사건에서 해당하는 증거물을 추가하여 분석 및 보고서를 작성하면 된다. 하나의 Case, 사건이 추가가 된 것이다.

 

Template(견본)  견본은 EnCase v7 에서 새로운 부분이다. 견본 파일은 .CaseTemplate 확장자를  가지며 Users\<Username>\Documents\EnCase\Templats 폴더에 저장된다.  EnCase 는 이미 정의된 견본을 갖고 있으며, 사용자가 필요하다면 견본을 만들  수도  있다.  견본은 시간을 절약하므로 견본 사용을 권장한다. 각각의 견본은 다음과 같은  사건 견본 정보가 고유하게 정의된 것들이 포함돼 있다.  ㅇ 사건 정보 항목에 따른 디폴트 값  ㅇ 북마크 폴더와 메모  ㅇ 태그 이름  ㅇ 보고서 견본  ㅇ 사용자 정의 보고서 스타일  많은 사용자들은 자신의 견본 사용을 선호한다. 견본을 사용해 사건을 만들면 되기  때문에 자신의 견본을 만드는 것은 매우 쉽다. 분석관 이름이나 북마크 폴더와 같이  저장하려는 여러 가지 맞춤형 항목을 만든 다음에 응용 툴바의 Case 드롭다운   메뉴로 이동해 Save As Template... (다른 이름으로 견본 저장하기)을 선택하면   대화상자가 나타나고, 이름과 경로를 선택할 수 있을 뿐만 아니라 견본에 해시  라이브러리나 북마크 메모를 포함시킬 수 있다.    Name(이름)  Name 은 사건 이름을 입력할 수 있다. 사건을 설명할 수 있는 이름을 입력하며,  사건 번호가 포함 될 수 있다. 여기에 입력한 문자는 사건 전체 경로에 바로  반영되며, 경로에는 사건 이름 폴더가 생기고 그 안에 사건 이름으로 된 파일이  만들어진다. 관리해야 할 사건이 많다면 간단하면서 사건을 잘 설명할 수 있는   이름이 도움이 된다.  Full Case Path(사건 전체 경로)  Full case path 영역은 회색으로 돼 있으며, 직접 입력할 수 없다. 더 정확히  말하면 이 데이터는 바로 아래에 있는 Base case folder(기본 사건 폴더)와 바로  위에 있는 사건 이름으로 정해진다.  Base case Folder(사건 기본 폴더)    Base case Folder는 Documents 폴더나 My Documents 폴더에 저장된다.  일반 적으로 시스템 디스크가 아닌 다른 위치에 사건 파일과 함께 증거와 증거  캐시를 보관 하는 것이 좋다.    Primary Evidence Cache(주 증거 캐시)    Primary Evidence Cache는 증거를 보기 위해 증거를 불러 왔을 때 EnCase는  해당 증거 항목과 연관된 메타데이터를 파싱하고 저장한다. 획득된 각 증거 항목에  GUID가 할당되며, 이 GUID로 된 이름의 폴더에 증거 항목과 연관된 캐시 데이터가  저장된다. 증거 처리기가 실행되면 증거 처리기도 이 폴더에 데이터를 저장한다.  당연히 각 증거 항목에 대해 독립적으로 데이터를 캐싱하고 저장하는 목적은,  성능을 높이고 대규모 증거에 대해서도 확장성을 노핑기 위한 것이다.  이 항목에 있는 Use base folder for primary evidence cache  (주 증거 캐시에 대한 기본 폴더로사용하기)를 선택하면 이 경로를 사건 기본  폴더로 설정할 수 있다.  Secondary Evidence Cache(부 증거 캐시)  Secondary Evidence Cache는 이전에 생성된 캐시를 위한 것으로, 이 위치에  이전에 생성된 캐시를 저장할 수 있다. EnCase는 이 위치에서만 이전에 저장된  캐시를 불러올 수 있다. 새로 만들어진 모든 캐시는 주 캐시 폴더에 저장된다.    Case Infomation(사건 정보)  사건과 관련된 데이터를 입력해야만 하거나 할 수 있는 몇 가지 항목을 볼 수 있다.  물론 항목은 선택한 견본에 따라 달라진다. 최소한도로 Case Number(사건 번호)와  Examiner Name(분석관 이름), Description(사건에 대한 설명)을 입력해야 한다.  분석관 이름과 같은 몇 가지 항목은 사건마다 바뀌지 않기 때문에 맞춤형 견본을  만들어둔다면 새 사건을 만들 때 시간을 아낄 수 있다. 과거에 EnCase는 작업을  진행하기 위해 적어도 이름만은 입력해야 했지만, 이제는 더 이상 이름을 넣을  필요가 없다.