분류 전체보기
[EnCase] 시나리오 기반 Peterson’s HDD.E01 실습(증거 찾기)_2
파일들을 검색하고 북마크하기 Searches 메뉴에서 인덱스 검색어 저장하기 Create Results 기능을 사용하여 검색어를 포함하는 파일들 저장하기 이미 생성해 놓은 여러 검색어들로 인덱스 쿼리 수행하기 ZeroBit 사의 CEO인 Dominic Santini에 따르면, Norm Peterson이 최근 플로리다, 올란도로 출장을 갔습니다. 하지만 Dominic은 Norm이 출장을 간다고 했던 올란도에 오지 않았다는 것을 아는 사람을 통해 듣게 되었습니다. 또한 Santini에게는 Rebecca Howe라는 비서가 있는데, Norm이 Rebecca와 지나치게 친한 것 같다고 합니다. 1. Norm의 회사 메일은 Norm.Peterson@zero.bit.com입니다. Norm이 회사 이메일 말고 다른 ..
[EnCase] 태그(태그생성), 태깅된 결과 북마크하기
태그 - EnCase에서의 태그는 아래처럼 생겼다. - 원하는 태그의 해당 위치 클릭으로 태그를 할 수 있다. 태그 생성하기 - 태그 공간을 우클릭하여 Tags - Manage tags... 를 누르면 태그를 생성하고 삭제할 수 있는 매니저창이 뜬다. - 원하는 태그명과 색상을 선택할 수 있다. - 태그를 추가하면 아래와 같이 태그 추가된 모습을 볼 수 있다. - 태그된 항목들은 Tags - Tag selected Items...에서 볼 수 있다.
[EnCase] 인덱스 서칭, RAW 서칭 +결과 확인하기
인덱스 서칭 - 결과보기 : View - Artifacts Raw 서칭 - 증거 파일 선택 화면으로 이동하여, 상단의 Raw Search All - New Raw Search All... 를 클릭한다. - 증거파일을 눌러 들어간 뒤 Raw Search Selected - New Raw Search Selected...로 검색한다. - 검색할 키워드들을 추가하여 서칭한다. - 결과 확인은 View - Keyword Hits 로 이동하여 확인할 수 있다. - 검색 결과는 overwrite되기 때문에 따로 다시 저장한다. - Compressed View를 사용하여 한 눈에 편하게 볼 수 있도록 한 뒤 필요한 부분을 북마크 할 수도 있다.
[EnCase] 시나리오 기반 Peterson’s HDD.E01 실습(증거 찾기)_1
Peterson’s HDD.E01 실습 1. Tree 창에서 C:\Users\Zerobit Admin\Pictures\ 몇 개의 이미지가 보입니까? 0개 2. C:\Users\Zerobit Admin\Desktop 흥미로운 것이 있습니까? 링크파일(.lnk) - 해당 링크파일을 추출해서 로컬파일로 다운받았다. - 링크파서라는 프로그램을 사용하여 lnk 파일을 자세하게 확인해보았다. - 결과물은 Export CSV를 사용하여 다운받았다. 3. C:\Users\Norman.Perterson\Pictures\Peterson’s Race Pics\ 몇 개의 이미지가 보입니까? 41개 - 그 외에 보이는 AVI 파일도 추가로 확인해보았다. - 다운 후 확인해보았으나 별다른 특이점은 보이지 않아서 일단 북마크만 해..