DDDDigtal 4ensics

컨디션의 사용 법을 알아보자. ​ 오늘은 Encase의 Condition 기능을 알아보도록 하겠습니다. ​ Condition이란 ? Filter와 비슷한 기능입니다. 날짜와 날짜 사이의 파일이 생긴게 있는지로 악성코드 감염시 악성코드가 생성하는 어떠한 파일을 찾아볼 수 도 있고, 파일명을 검색할 수 있는 등 여러 옵션이 많은 기능입니다. 컨디션은 그냥 바로 검색할 수 있는 기능도 있는 반면, Process를 돌려야만 결과를 얻을 수 있는 옵션도 존재합니다. ​ 컨디션의 위치 컨디션의 New를 눌러서 추가하려한다면 처음 보이는 화면은 다음과 같습니다. ​ 화면에서 또 New를 눌러보면 화면이 나오게됩니다. ​ String : String 형식이라면 Operator를 선택 후 나오는 List목록에 적으시면 ..

저번 글에서 설명해드렸던 그대로 일단 Encase를 이용하여 증거물을 열어줍니다. Process를 눌러줍니다 프로세스를 누르게 된다면 Process Options 창이 나옵니다. 옵션에 대한 간단한 설명 ※ 빨간 !는 한 번만 실행 가능한 옵션이다. (솔직히 한 번 이상할 이유가 없기도 하다.) ※ 글자색이 파란색인 경우는 추가로 어떤 옵션을 추가할 수 있기에 해당 글자를 클릭해보면 된다. Priorizization 먼저 처리할 항목 유형을 선택합니다. Recover Folders 이 설정을 사용하면 삭제되거나 손상된 파일을 복구하여 FAT 및 NTFS 볼륨에서 숨겨진 파일을 찾을 수 있습니다. File signature analysis 이 설정을 사용하여 파일 확장명이 변경되었는지 여부와 헤더 바이트로..

Encase란 ? ​ Encase는 OpenText(구 Guidance Software)의 디지털 포렌식 조사 및 분석 소프트웨어다. Encase는 지금은 점차 낮아지는 추세지만 그래도 전세계적으로 많이 쓰이는 대표적인 소프트웨어이다. Encase로 분석한 증거는 검증된 소프트웨어이기에 법적 효력을 가질 가능성이 매우 높다. 하지만 단점으로는 가격이 너무 비싸다. 왠만한 대학원이나 관련직종이 아니면 쉽게 접할 수 없다는 것이 너무 큰 진입장벽이다. Encase를 쓰려면 동글키나 EncaseLM같은 라이센스가 필요하다. 우리 학교에서는 Encase를 20.3 21.3 22.3 8.11을 쓸 수 있지만 내가 포스팅하려고 빌린 자리는 22.3이 안깔려있다. Encase를 처음 마주했을 때 보이는 화면에 대해 ..