컴퓨터 포렌식 분석관은 주로 증거가 될 수 있는 데이터가 저장된 매체를 다룬다. 이러한 매체는 주로 하드 디스크와 CD와 DVD, 플래시 메모리 장치, 스마트폰, 태블릿, 그리고 예전에 사용하던 플로피 디스스크가 주를 이루지만 이에 국한되지는 않는다. 이런 다양한 장비들이 분석관을 힘들게 하겠지만 매체 장치는 독립적으로 동작할 수 없기 때문에 분석관은 컴퓨터의 다양한 구성 부품과 기능에 대한 지식을 반드시 갖춰야만 한다. 분석관은 배심원들에게 컴퓨터가 어떻게 동작하는지 설명하기 위해 법원으로부터 법정 출석 요구를 받을 수 있을 수 있다. 이런 일을 대비해 분석관은 기술적인 관점에서 컴퓨터의 기능을 알고 있어야 하며, 그 기술적인 개념을 실생활에서 쉽게 이해할 수 있는 용어로 바꾸어 말할 수 있어야만 한다..

각 증거 이미지별 기본 항목을 조사한다. 1. 디스크에 설치된 운영체제를 조사한다. 2. 운영체제에 생성되었던 사용자 계정을 조사한다. 3. 사용자 계정별 SID를 조사한다. 4. 설정된 Timezone setting값을 조사한다. 5. 가장 마지막으로 로그온한 사용자 계정과 로그온 시간을 조사한다. 2개의 Evidence File, BParker.E01, CBarrow.E01 에 대한 조사이므로 Parker's HDD 와 Clyde's HDD 를 선택하고 Process 기능을 실행한다. EnCase Processor Options pane 가 나타난다. Option 을 선택하고 하단에 OK 를 클릭한다. Processing 작업이 완료되면 Records page 에서 작업된 결과를 확인할 수 있다. C..

Hash Library Analysis 을 진행하겠다. 2개의 증거물에 대한 분석이므로 Parker's HDD 와 Clyde's HDD 를 선택을 해서 분석을 한다. 메뉴 -> Tools -> Manage Hash Library 기능을 실행한다. 그럼 위와 같이 Manage Hash Library Option pane 이 나타난다. Hash Library 사용 목적은 크게 두 가지가 있다. 첫 번째 : Law File 에 대해서 배제를 하고 분석한다. 시스템 파일에 해당 두 번째 : 크게 알려진, 흔이 알고있는 파일. 백신 내 설치 프로그램 폴더를 확인하면 엄청많은 파일들 흔히 알고 있는 유명한 프로그램들에 대해선 훼손이 되지 않았다고 가정해서 이러한 데이터들에 대한 Hash Value 를 구할 수 있다..

인덱싱된 데이터 분석은 되는게 있으나 드물다. 특히나 hwp 파일에 대해서는 인덱스 엔진이 별로다. 인덱스 엔진을 쓰기엔 영문자료나 정규표현식 이런 것을 많이 쓰고, 대부분 한글 단어에 대한 키워드 검색은 인식이 별로라서 하지 않는다. 기업에서는 Coulmn 제목은 한글로 처리하나 기술에 대한 용어는 영어로, 키워드들은 다 영어로 처리한다. INDEX 는 Keyword Search 가 좀 다르다. 뜻 그대로 데이터라든지 Keyword 들에 대해서 인덱싱처리 된걸 보기 쉽게 해주는 것이다. Keyword Search 자체는 정규표현을 이용할 수 있다. 인덱싱 검색은 단어를 입력해야 한다. 키워드 검색은 Evidence Tab 에서 Evidence Page 에 Search all raw entry date ..

Parker's HDD 에 존재하는 사진 파일을 찾아 보겠다. Parker's HDD 에서 Home Plate Button 을 클릭하면 위와 같이 Parker's HDD 에 존재하는 하위 File 까지 확인할 수 있다. 현재 13015 개의 File 을 나타내주는 걸 확인할 수 있다. ​ Timeline 기능은 거의 사용하지 않는다. View 가 사용자 입장에서 보기가 불편하다. 그래서 어떨 때 이슈가 제일 많았었는지 확인만 할 때 사용하며 많이 사용하지는 않는다. ​ Gallery 기능을 제일 많이 사용한다. 흔히 말하는 사진 촬영의 이슈를 찾는다던지, 사진 촬영의 이슈가 크므로 여기서 확인한다. 사진이 많을 수 밖에 없으므로, 정말 운이 좋다면 원하는 사진은 금방 찾는다. 쿠키정보를 남기는 사진파일 ..

Registry 저장 경로는 기본적으로 저장된 경로가 있고, 백업이 저장된 경로가 있다. 백업이 저장되는 경로는 백업내용이 적을 수도, 많을 수도 있다. 판단을 해서 Analysis 하면 된다. 보통 Software Key , System Key , SAM File , NTUSER.DAT 파일이 있는데 이런 파일에 대해 분석을 하면 된다. 흔히 보는 Registry 구조처럼 일반적으로 Regedit 에서 보는 데이터들이 단일 파일로 저장되는게 아니다. Regedit 처럼 보고 싶다면, 화면을 띄을 수 도 있다. 어떤 Artifact 의 경로를 잘 알고 있고, 확인을 하고 싶지만 EnCase 는 알아서 Category 정렬도 해주고 알아서 보여준다. 그런데 의문이 생길 수 있다. 실제로 Artifact 가..