EnCase v7 프로그램 화면 배치 및 버튼의 기능

증거를 불러오면 EnCase는 디폴트로 Evidence탭에서 트리-테이블 화면을 보여준다.

이 화면은 베테랑 EnCase사용자에게는 매우 익숙하며 자주 사용했던 화면이겠지만, 화면만 그런 것이 아니다.

EnCase에서 사건 엔트리의 트리-테이블 화면은 주된 분석 기능의 이름을 따서 지은 세 개의 창 트리 창(Tree pane), 테이블 창(table pane), 보기 창(View pane)으로 구성 돼 있다.

트리 창부터 테이블 창, 마지막으로 보기 창으로 이동을 하면 정보의 기본 단위나 세부 사항이 증가한다. 대상(물리 장치나 볼륨 또는 폴더)에 대해 세부적인 것을 원한다면 트리 창에서 커서로 대상을 선택(hightlight(대상을 선택하면 선택됐다는 것을 알려주기 위해 선택된 대상의 배경이 바뀌는데 배경이 바뀌는 것을 하이라이트됐다고 하지만, 선택하면 하이라이트되기 때문에 '선택하다'도 된다))하면 테이블 창에서 대상에 대한 세부 사항을 보여준다. 테이블 창의 대상에 대해 더 세부적인 것을 원한다면 테이블 창에서 대상을 선택하면 세부 사항이 하단의 보기 창에 표시된다. 보기 창에서 데이터의 기본 단위 수준으로 내려가면 보기 창을 통해 효과적으로 더 많은 정보나 기본 단위를 바꿔가면서 여러 방법으로 데이터를 보거나 해석할 수 있다.

EnCase는 탭으로 된 보기 환경을 사용한다. 탭은 해당 탭에서 사용할 수 있는 화면을 설명하는 레이블을 가진다. 많은 분석관들은 Report 탭과 Hex 탭 등과 같이 탭으로 된 화면을 본다. 실제로는 별 차이가 없으니 혼동하지 않아야 하고, 탭은 화면에 접근할 수 있게 할 뿐만 아니라 탭에 대한 이야기를 할 때 사람들이 그것을 어떻게 호칭하는가에 대한 선호의 문제다.

 

Entrie 구조를 분석할 수 있게 Viewing 이 되었다.

체크박스를 나타낸다.

 

All Check Box , Home plate button, Picture check box 라는 용어가 있는데 일반적으로 홈 플레이트 버튼이라고 한다.

홈 플레이트 버튼과 체크박스 차이는

 

체크박스는 폴더만 체크하고 폴더만 나타난다.

체크하게 되면 하위폴더는 체크가 안된다.

홈 플레이트 버튼을 누르면

하위 리스트까지 전부다 나타난다. View 를 해주므로 구지 찾아 들어갈 필요가 없다.

홈 플레이트를 활용하면 저기서 필터를 적용한다던지 정렬을 통해 파일을 쉽게 찾을 수 있다.

 

정렬의 경우 컬럼에서 정렬 기준에 해당하는 영역을 더블클릭하면 내림차순, 오름차순 정렬이 된다.

그리고 현재 왼쪽은 빨간삼각형이 1개이고, 오른쪽은 빨간삼각형이 2개이다. 이게 어떤걸 의미하냐면 먼저 1차적으로 Name 에서 정렬을 하였고, File Ext 기준으로 2차적 정렬을 한 상태이다.

즉 먼저 Name 으로 정렬을 한 후, 그 상태에서 다시 File Ext에서 두번째 정렬이 된 상태이다.

처음 정렬할 때는 더블클릭을, 그 상태에서 또 정렬을 할 때에는 Shift 를 누른 상태에서 클릭을 하면 첫 번째 정렬된 상태에서 두번째 정렬을 하게 된다.

해당 파일을 각각 클릭 할 때마다 정보들을 보여준다.

그러니까 테이블 창에서 보이는 정보들이 보기 창에서 순서대로 보여주게 되는 것이다.

DOC 문서 파일의 경우 내용을 미리 보여준다. 구지 빼서 볼 필요 없이 아래 보기 창에서 Doc 메뉴에서 문서 파일을 미리보기 할 수 있다.

Picture 도 많이 보이고, 퍼미션 쪽도 많이 보게 된다. 해당 파일의 권한을 보는 곳이 퍼미션 탭이다.

현재 창이 작아서 퍼미션 탭이 아이콘으로 나와 있는데 File Extents 옆에 자물쇠 아이콘이 퍼미션 탭이다.

공용폴더를 만들어 놓는 사람이 꼭 있다. 사내에, 기밀 파일에 대해서도 퍼미션을 확인 해야할 수 도 있다. 이런 정보들은 퍼미션을 통해 확인할 수 있다.

SID 값도 확인할 수 있으며 SID 값을 통해 확인할 수 있는 기능이 휴지통 비운 사람을 확인할 수 있는 것이다.

 

 

왼쪽 상단에 빨간 네모부분을 클릭하면 뒤로가기가 실행된다. 즉 상위단 으로 올라가게

되는 것이다.

 

 

현재 상위단 으로 이동한 화면이다.

 

 

View 메뉴에서 Search, Records, Bookmarks 기능을 실행하면 어떻게 탭에 추가되는지 확인해보자.

 

 

각 메뉴를 실행하면 위와 같이 Evidence 옆으로 Search, Records, Bookmarks 탭이 추가된 것을 확인할 수 있다.

서치 탭, 레코드 탭, 북마크 탭이라고 부르며 가장 많이 사용할 탭이 바로 Evidence 탭이다. 왜냐하면 Entry 구조를 보기 때문에 상당히 편하다.

 

 

그리고 용어를 잘 이해해야 한다. 현재 Viewing 에서 보고 있는 화면은 Evidence 탭에서 Evidence 페이지를 나타내주고 있다.

 

 

Evidence 목록에 나와있는 페이지 화면이며 여기서 Evidence 인 0번 디스크를 클릭해서 확인해보면

 

 

Viewing 상태가 Entry 페이지로 바뀐다. 현재 위치가 Entry 페이지란 의미이다.

내가 선택한 Evidence 에 대해서 Entry 구조를 보는 페이지란 뜻이다.

현재 위치는 Evidence Tab 에서 Entry Page 를 나타내고 있으며,

 

 

뒤로가기 버튼을 클릭하여 상위단 으로 이동하면

 

위치가 Evidence Tab 의 Evidence Page 를 나타낸다.