EnCase v7 Columns Analysis

Event Log 와 Registry Log 는 분리되어 있는데 이 Log 들을 한번에 볼 수 있다.

그리고 간단하게 필터링하는 방법과 Column 에서 어떠한 정보를 보여주는지 확인해보겠다.

 

우선 Evidence Page 로 이동한다. 그리고 Entries 부분에서 Homa Plate button 을 클릭한다.

그럼 Table pane 에 하위 Files 를 나타내준다.

하위 File 등 아무 File 들을 나타내주긴 나타내준다. 이 모든 File 들을 Category Tab 에서 분류를 하고 있다. 당연히 해당 File 이 어떻게 분류가 되는지 분류가 되어야 한다.

그런데 이 분류가 어디서 구분을 하는것이냐면, 당연히 File Signature 기반으로 분석을 해서 Category 를 분류해야 한다. 그럼 이 분류가 되는 구분을 하는 Tab 이

 

Menu -> View -> File Types Tab 이다.

List 를 확인하면 엄청나게 많이 등록되어 있다. 한글(프로그램) 도 등록되어 있을 수 있다.

그러나 Office 는 2007 Version 부터, 한글은 2010 Version 부터 등록이 될 것이다.

한글의 포맷인 HWP 파일에 대한 특징은 한글과 컴퓨터에서 파일 포맷에 대해 전부 공개했다.

한글과 컴퓨터 홈페이지에 접속하면 HWP 버전별로 File Format 이 분류되어 있다.

그걸 통해 따로 만든 Parser 들이 많으므로 되도록이면 그 Tool 들을 이용해서 확인하는게 좋다.

OFFICE 와 한글 파일들이 Compound file 이 되면서 header signature 똑같아졌다.

지금 이게 무얼 의미하나면, 우리나라는 한글 파일을 정말 좋아한다. 만약 한글 파일만 보고싶다고 기능을 실행하면 분류에 혼란을 야기할 수 있다.

왜냐하면 Office 하고 한글 파일의 signature 가 같기 때문이다.

그럼 발생하는 문제가 Category 라든지, 표현에서 Office 가 아니라 한글로 표현된다든지 중복이 될 수 있다.

header signature 가 같기 때문에 Category Tab 에서 중복을 야기하는 문제가 발생할 수 있다.

Project 등을 통해 프로그램을 개발해서 확장자를 추가로 만들 수 있다. 흔히 알고 있는 CAD File 이나 Photoshop 에 활용되는 File 등에 대해 알려진 것들은 File Types 에 등록되어 있는데, 우리가 모르는, 알수 없는 임의적으로 개발한 등록이 안되어 있는, 알려지지 않은 프로그램들은 바로 여기 File Types 기능을 통해 추가를 할 수 있다.

Signature 를 가지고 있는 File 이면 분석때 정말 편하게 정보를 확인 할 수 있다.

Files 의 signature information 은 File Types Tab 에서 확인할 수 있고 Internet Site 에도 정리가 잘 되어 있다.

 

 

 

column 에서 signature analysis 은 sigunature analysis 대한 결과를 나타낸다.

Fily Type 은 signature analysis 을 하면서 File Type 에 등록되어 있는 내용을 바탕으로 표현을 해준다.

Protected 는 압축이 되어 있느냐, 안되어 있느냐를 나타내주고 MAC TIME 도 확인할 수 있다. MD5 Hash 값은 analysis 때 Check 를 하면 생성된다.

EnCase 의 단점이 File 의 Hash analysis 을 실행하고 완료되면 자동으로 Refresh 가 안되고 한단계 나갔다? 다시 돌아와야 한다. 그러니깐 EnCase 는 link 방식이다. 상위 단 으로 갔다가 다시 돌아와야 Refresh 가 실행된다.

Entropy analysis 는 File 의 복잡성을 Test 하는 기능이므로 역시 analysis 때 Check 를 통해 기능을 실행할 수 있다.

Permission information 은 File 에서 있을 것도, 없는 것도 있다.