EnCase v7 INDEXING DATA Analysis

인덱싱된 데이터 분석은 되는게 있으나 드물다. 특히나 hwp 파일에 대해서는 인덱스 엔진이 별로다.

인덱스 엔진을 쓰기엔 영문자료나 정규표현식 이런 것을 많이 쓰고, 대부분 한글 단어에 대한 키워드 검색은 인식이 별로라서 하지 않는다.

기업에서는 Coulmn 제목은 한글로 처리하나 기술에 대한 용어는 영어로, 키워드들은 다 영어로 처리한다.

INDEX 는 Keyword Search 가 좀 다르다. 뜻 그대로 데이터라든지 Keyword 들에 대해서 인덱싱처리 된걸 보기 쉽게 해주는 것이다.

Keyword Search 자체는 정규표현을 이용할 수 있다. 인덱싱 검색은 단어를 입력해야 한다.

 

키워드 검색은 Evidence Tab 에서 Evidence Page 에 Search all raw entry date for keywords 기능이 있다. 뜻 그대로 인덱스처리 한 것처럼 hwp 라는 단어 자체만 검색할 수 도 있다.

이 단계에선 Search all raw 에서 할 수 있고, 키워드 검색처럼 Process 에서 찾을 수 있다.

그러나 보통 시간이 오래 걸리므로 명확하게 필요하지 않는 이상 처음부터 이용을 잘 안한다.

 

Parker's HDD , Clyder's HDD 두 개의 Evidence File 을 선택하고 상단에 Search all raw entry data for keywords 버튼을 클릭하면 위와 같이 Option 이 나타난다. 여기서 New Raw Search All... 기능을 클릭한다.

 

그럼 위와 같이 New Raw Search All Option pane 이 나타난다.

 

Option pane 에서 New Option 을 클릭한다.

 

그럼 New Keyword Option pane 가 나타난다. 여기서 새로운 Keword 를 추가해서 기능을 이용한다.

 

Search Expression Option 은 단어에 대한걸 찾을 수도 있고, 대.소문자 구분된 걸 찾을 수 있고 GREP 정규식을 이용할 수도 있다. 결국은 GREP 정규식을 많이 쓰게 된다.

Keywords 은 인덱싱 처리된거에 대해 인덱싱 검색을 하게 되는데 정규표현식 같은 경우 감사단위에 대해서 정규표현식을 많이 쓰게 된다.

 

 

 

 

GREP 정규식은 인터넷 검색으로도 확인할 수 있지만 EnCase 에서도 간단한 표현을 제공한다.

 

 

정규표현식에서 자주 쓰는 표현이 바로 . Any character 이다.

왜냐하면 주민등록번호나 휴대폰번호의 경우, 휴대폰번호의 경우 띄어쓰기를 할수도, 안할수도 - / _ 넣을 수도 있기 때문이다. 어떻게든 표현을 할 수 있기 때문이다.

 

기능의 이용을 위해 위와 같이 입력후 number.txt 로 저장을 한다.

 

Search Expression Tab 에서 Search Options 에 ANSI Latin - 1 , Unicode , GREP 를 선택한다.

 

 

 

다음 Keyword tester Tab 에서 Keword 를 ########### 을 입력하고 Test data 에서 아까 저장했던number.txt 를 Load 해준다.

 

​그럼 위와 같이 01098765432 만 노란바탕으로 표현이 되었다.

#이란 단어가 0-9 까지 숫자만 표현을 해준다. 중간에 . Any​ character 기능을 선택하지 않았으므로 11자리의 숫자만 표현을 한 것이다. 우측으로 - 나, Ab 가 들어간 번호는 표시하지 않고 있다.

이런식으로 GREP 정렬식을 text file 로 만들어 놓고 Test 를 하면 오류검증을 할 때 편리하게 이용할 수 있다.

카드번호 같은 것들은 오류가 심하다. 나름 카드번호 패턴도 만들어 놓으면 편리하며 CVC 번호도 기록을 하는지 구분해놓으면 편리하게 이용할 수 있다. 이렇게 GREP 정규표현식을 사용하면 주민등록번호, 카드번호, 계좌번호 등 금융정보를 확인할 수 있다.

 

history 를 검색해보겠다. Search Expression Tab 에서 history 를 입력하고 Search Options 에서 ANSI Latin - 1 , UTF8 , UTF7, Unicode, GREP 를 선택하고 하단에 확인을 클릭한다.

​

 

New Raw Search All Option pane 이 나타난다. 그리고 OK 를 클릭한다.

 

두 개의 Evidence File 이므로 각각 Law search 를 통해서 history 를 검색하게 설정하고 실행하였다. 그럼 우측 하단에 Hits 가 증가하면서 작업 상태를 확인할 수 있다.

기본적으로 인덱스가 다르게 인코딩된 파일에 대해선 인덱스를 잘 검색하지 못한다.

Law search 기능을 이용하면 Disk 영역안에 있는 Keywords 를 검색해서 가져오게 된다.

분석을 통해서 인덱싱을 통해 검색을 할 건지, 아니면 Law search 기능을 이용할 것인지 판단을 해서 최적의 기능을 이용한다.

작업이 완료되면 Search 에서 확인이 가능하다. history 라는 Law search 결과가 Items, Hits 개수로 표현이 되는걸 확인할 수 있다.