| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- 리버싱엔지니어링
- 고려대학원
- 포렌식
- 서울호서직업전문학교
- 악성코드분석
- 레가
- e-discovery
- 포렌식 #안티포렌식 #레지스트리 #거부권한 #깃허브 #Forensics #forensic #anti-forensic #anti-forenscis #컴퓨터 #사이버수사 #수사관 #KDFS
- 악성코드
- http://reversing.kr/
- 사이버수사
- REGA
- encase
- 사이버수사과
- 이디스커버리
- 서호전
- 리버싱
- forensic
- Opentext
- Reversing
- x64dbg
- 악성코드 분석
- reversing.kr
- 레지스트리포렌식
- U's room
- KDFS2022 #KDFS2023 #학생트랙 #멤버모집 #포공학 #포렌식 #디지털포렌식 #범인을찾아라 #DFC #포렌식대회 #보고서 #학생트랙보고서
- Music_Player
- 디지털포렌식
- 엔케이스
- 역연산
- Today
- Total
DDDDigtal 4ensics
[opentext Encase v21.3 ] Process 사용 법 본문
저번 글에서 설명해드렸던 그대로 일단 Encase를 이용하여 증거물을 열어줍니다.
Process를 눌러줍니다
프로세스를 누르게 된다면 Process Options 창이 나옵니다.
옵션에 대한 간단한 설명
※ 빨간 !는 한 번만 실행 가능한 옵션이다. (솔직히 한 번 이상할 이유가 없기도 하다.)
※ 글자색이 파란색인 경우는 추가로 어떤 옵션을 추가할 수 있기에 해당 글자를 클릭해보면 된다.
|
Priorizization
|
먼저 처리할 항목 유형을 선택합니다.
|
|
Recover Folders
|
이 설정을 사용하면 삭제되거나 손상된 파일을 복구하여 FAT 및 NTFS 볼륨에서 숨겨진 파일을 찾을 수 있습니다.
|
|
File signature analysis
|
이 설정을 사용하여 파일 확장명이 변경되었는지 여부와 헤더 바이트로 지정된 파일 형식과 일치하는지 여부를 확인합니다.
|
|
Protected file analysis
|
이 설정은 암호화된 파일과 암호로 보호된 파일을 식별하기 위해 암호화 분석기를 사용합니다.
|
|
Thumbnail creation
|
선택한 증거의 모든 이미지 파일에 대한 축소 이미지 레코드를 만들려면 이 설정을 선택합니다.
|
|
Media analysis
|
미디어 분석은 이미지를 검색하고 각 이미지가 미리 정의된 범주와 얼마나 밀접하게 일치하는지를 나타내는 신뢰 수준 점수를 할당합니다. (이 옵션은 별도의 라이센스가 있다.)
|
|
Exif parser
|
JPEG 이미지 파일에서 교환 가능한 이미지 파일 형식 메타데이터를 구문 분석하려면 이 설정을 선택합니다. 데이터를 구문 분석한 후에는 파일 속성 탭에서 데이터를 사용할 수 있습니다.
|
|
Hash analysis
|
이 설정을 사용하면 파일에 대한 해시 값을 만들 수 있습니다.
|
|
Expand compound files
|
ZIP 및 RAR 아카이브와 같은 복합 및 압축 파일을 확장하려면 이 설정을 선택합니다. 그리고 파일에서 추출된 구성 요소 파일을 분석합니다.
|
|
Find email
|
이 옵션을 선택하면 PST 및 NSF와 같은 전자 메일 보관 파일에서 개별 메세지가 출력됩니다.
|
|
Find Internet artifacts
|
브라우저 기록 및 캐시된 웹 페이지와 같은 인터넷 관련 아티팩트를 수집하려면 이 설정을 선택합니다.
|
|
Social Media parser
|
지원되는 소셜 미디어 아티팩트를 구문 분석하려면 이 설정을 선택합니다.
하지만 지원되는 브라우저는 Chrome 뿐입니다.
|
|
Search for keywords
|
이 기능을 사용하여 원시 텍스트에서 특정 키워드를 검색할 수 있습니다.
|
|
Index text and metadata
|
많은 양의 데이터에서 키워드를 검색해야할 때 인덱스를 만들려면 이 항목을 선택합니다.
|
위 표로 간단하게 프로세스의 옵션들을 정리할 수 있다.
Prioritization
해당 프로세스의 옵션을 보면 문서와 사진 그리고 아이템 날짜 내의 항목을 선택할 수 있는 항목이 나온다.
Recover Folders
해당 프로세스의 옵션을 보면 Reconstruct folder structure of NTFS 3.0 files (NTFS 3.0 파일의 폴더 재구성) 이라는 선택 항목이 있다. 이 옵션을 선택하면, 삭제된 파일이 삭제 전 폴더로 재구성되어 보여준다.
Find email
각각 옵션마다의 파일에 대해서 Email들을 파싱해서 보여줍니다.
FInd Internet artifacts
비할당 영역에서 인터넷 아티팩트를 검색할 수 있도록 도와주는 옵션이 있다.
Secarch for keywords
Add Keyword List
키워드 리스트를 만들 경우에는 이런식으로 검색할 키워드를 치고 줄바꿈하고 다시 키워드를 입력해주시면 됩니다.
New
New를 누르면 이렇게 정규식을 만들 수 도 있고 서치할 키워드 검색을 위하여 다양한 옵션을 제공합니다.
Index text and matadata
Index text and metadata는 선택 자체로도 프로세싱하는 시간이 엄청나게 늘어납니다.
또 옵션에서 언어를 추가로 선택할 시 더 늘어나겠죠 ?
하지만 그 이후 키워드 검색할 때 빠르게 검색할 수 있습니다.
System Info Parser
System info parser에 잇는 옵션같은 경우는 네트워크 정보 하드웨어 정보 설치되어 있는 소프트웨어 정보 같은 다양한 정보를 보여줍니다.
File Carver
파일 카빙이란 파일 자체 바이너리 데이터를 이용하여 디스크의 비할당 영역에서 파일을 복구하는 방식이다.
여기서는 카빙을 위하여 데이터베이스에서 파일 형식을 선택할 수 있다.
또 옵션을 체크하면 HTML 파일이나 Mail 파일 또한 카빙가능하다.
Windows Artifact Parser
이 옵션에서는 .lnk파일이나 쓰레기통 MFT(Master File Table) ShellBags(폴더 기록)등을 파싱할 수 있도록 도와줍니다.
'Forensics > Encase' 카테고리의 다른 글
| [opentext Encase v21.3 ] Condition 사용 법 (0) | 2023.07.07 |
|---|---|
| [opentext Encase v21.3 ] 케이스 생성, 증거 추가, 및 기초 사용 법 (0) | 2023.04.30 |
