EnCase v7 Compound File Analysis

DOC 문서를 추가하고 Compound File Analysis 을 해보겠다.

 

Evidence Page 로 이동을 해서 DOC 문서를 추가한다. 추가 방법은 아주 간단하다.

바탕화면에서 추가할 DOC 파일을 Drag & Drop 을 하면 바로 추가가 된다. TEST 할 DOC 문서 File 을 Drag & Drop 으로 추가해준다.

​

추가를 해주면 위와 같이 Single Files Name 로 DOC 문서가 추가가 된다.

 

Single Files -> Single Files -> EnCase v7 Compound Flie Analysis.doc 파일이 나타난다.

 

자. 그럼 이제 이 EnCase v7 Compound Flie Analysis.doc 파일을 선택하고 우클릭 -> Entires -> View File Structure 를 실행한다.

뜻 그대로 이 파일에 대한 구조를 본다. Compound File 이니깐, Compound File 이 아니면 View File Structure 확인이 되질 않는다.

 

View File Structure 기능을 실행하면 View File Structure 옵션창이 나타난다. OK 를 클릭한다.

 

 

 

 EnCase v7 Compound Flie Analysis.doc 파일이 분석되면 해당 파일에 + 녹색 아이콘이 활성화 된걸 확인할 수 있다. 이 파일 안에 내용이 더 있다는 뜻이다.

그럼 이제 이 EnCase v7 Compound Flie Analysis.doc 파일의 구조를 확인할 수 있다.

EnCase v7 Compound Flie Analysis.doc 파일을 클릭한다.

클릭하면 새로운 내용들이 나타난다. EnCase v7 Compound Flie Analysis.doc 파일이 가지고 있는 사진에 대한 정보와 다양한 정보들을 확인할 수 있다.

이 새로운 내용들의 정보를 어찌 활용하느냐?

만약 보고서를 받았다면 그 보고서에 포함된 사진에 대해 유출이 됐는지 안됐는지, 사진을 가지고 있는지 아닌지 확인할 수 있다.

사진을 추출해서 확인할 수 있다. 추출해서 원본 파일이면 Hash 분석을 하면 확인할 수 있다. 사진파일 또는 담겨진 파일을 빼내서 분석을 하는 식으로 활용할 수 있다.

Compound File 에 대해 알고 있으면 유용하게 활용가능하다. Compound File 에 대해 모르면 파일안에 존재하는 데이터를 어떻게 찾을지 고민할 수 밖에 없는다 그렇게 되면 번거롭게도 창을 하나 더 활성화시켜 비교하면서 확인하는 수밖에 없다.