[opentext Encase v21.3 ] 케이스 생성, 증거 추가, 및 기초 사용 법

Encase란 ?

​

Encase는 OpenText(구 Guidance Software)의 디지털 포렌식 조사 및 분석 소프트웨어다.
Encase는 지금은 점차 낮아지는 추세지만 그래도 전세계적으로 많이 쓰이는 대표적인 소프트웨어이다.
Encase로 분석한 증거는 검증된 소프트웨어이기에 법적 효력을 가질 가능성이 매우 높다.
하지만 단점으로는 가격이 너무 비싸다. 왠만한 대학원이나 관련직종이 아니면
쉽게 접할 수 없다는 것이 너무 큰 진입장벽이다. Encase를 쓰려면 동글키나 EncaseLM같은 라이센스가
필요하다.

 

Enase의 동글키

 

우리 학교에서는 Encase를 20.3 21.3 22.3 8.11을 쓸 수 있지만 내가 포스팅하려고 빌린 자리는
22.3이 안깔려있다.

 

Encase를 처음 마주했을 때 보이는 화면에 대해 설명을 도와드리면 아래와 같다.

• Recent cases : Ecnase로 분석한 case들이 보이는 곳이다.
• Case File - New Case : Case를 새로 만들 수 있게 해준다.
• Case File - Open : 이미 만들어진 Case를 열 수 있게 도와준다.
• Pathways - Full Investigation : 더 많은 Case조사를 도와준다.
• Pathways - Preview / Triage : 빠른 Case조사를 도와준다.
• Help - Help : 도움말 사이트로 이동시켜준다.
• Help - Paths : Encase가 현재 깔려있는 물리적 위치를 알려준다.
• Help - About : Encase의 기본 정보를 알려준다

학교기 때문에 Encase 타이틀에 Forensic Training이라고 적혀있다.

(좌) Full Investigation (우)Preview / Triage

---

Encase의 Case생성 

Encases의 케이스 생성은 간단하다.

가장 먼저 뉴케이스를 누르고

 

옵션에 맞춰 설정하고 OK를 누른다.

그럼 이렇게 케이스가 완성된다.

• Search : Keyword나 Tagged, Indexed Items를 볼 수 있다.
• Browse : 증거물을 분석할 때 사용한다.
• Evidence : 증거물을 추가할 때 사용한다..
• Report : 보고서를 쓸 때 사용한다.
• Case : 옵션, 저장 등을 할 수 있다.

Add Evidence를 눌러 증거물을 추가해준다.

 

Evidence File을 눌러 증거 파일을 추가.

 

누르면 파일을 선택할 수 있는 창이 나온다. 증거 파일 경로를 찾아서 알맞게 열어주면 된다.

 

프로세싱 창이 나오는데 Ok를 눌러주자.

 

이런 화면이 나온다. 이제 분석을 하면 되지만, 그 전에 미리 하나 해준다면 좋은 설정이 하나 있다.

Tool - Options - Data로 가서 날짜를 보기 쉽게 변경해주도록 하자.

 

날짜 설정을 완료했다면, 이제부터 분석을 도전해보도록 하자.

오늘은 케이스 생성과 증거물 추가하는 과정을 알아봤다.
다음은 Process기능에 대해 알아보도록 하겠다.