EnCase 22.3 릴리즈

새로운 기능

1. 새로운 타임라인 보기

EnCase Forensic의 타임라인 기능이 완전히 업데이트되어 현대화되었습니다.

트리 또는 테이블 View에서 파일을 선택하고 타임라인 보기로 전환하여 선택한 증거를 새로운 타임라인 형식으로 볼 수 있습니다.

사용자는 데이터를 드릴 다운하고 날짜 범위를 조정하여 표시할 데이터 유형을 지정할 수 있습니다.

열 위로 마우스를 가져가면 해당 날짜 bucket(묶음)의 데이터 유형 수를 알 수 있습니다.

또한 타임라인 데이터를 선택하고 북마크할 수도 있습니다.

이처럼 새로운 타임라인 보기에서는 데이터를 시각적으로 표현 및 기록하는 다양한 방법이 있습니다.

2. AFF4-L (논리) 쓰기 지원

EnCase Forensic은 이제 AFF4-L 형식의 논리적 증거 파일 생성을 지원합니다.

다음 압축 옵션을 사용할 수 있습니다.

• Disabled (no compression)

• Snappy

• LZ4

• Deflate

• Deflate (Zhlub)

해시 값 생성을 위해서는 다음과 같은 알고리즘이 지원됩니다.

• MD5

• SHA1

• SHA256

• SHA512

• Blake2b512

EnCase Forensic 사용자는 레지스트리 키 재정의를 통해 고급 AFF4 설정에도 액세스할 수 있습니다.

고급 기능은 다음과 같습니다.

               • Bevy 크기 - AFF4의 이미지 스트림에 대한 Chunk 스토리지 세그먼트 크기.

• Chunk 크기 - 데이터 저장에 사용되는 Chunk (또는 Block) 크기(KB)입니다.

• 캐시 용량 - AFF4 읽기 캐시에 보관할 최대 Chunk 수입니다.

• 압축 수준 - 수축 알고리즘의 압축 수준을 지정합니다.

• 이미지 크기 임계값 - 작은 파일에 대한 파일 크기 제한.

• 스레드 수 - 작업자 스레드의 최대 수입니다.

• Pyaff4 Workaround - wingmen 및 pyaff4와 같은 타사 도구에는 다양한 제한 사항이 있으며

이를 통해 AFF4 이미지 생성시, 특정 방식으로 작성될 것으로 예상됩니다.

EnCase에서 생성된 이미지를 이러한 도구 중 하나와 함께 사용할 경우,

이 옵션을 활성화하고 목록에 따라 값을 설정할 수 있습니다.

3. 물리적 AFF4 증거 파일 읽기 및 파싱

EnCase Forensic은 이제 물리적 AFF4 증거 파일을 읽고 파싱할 수 있습니다.

Zip 컨테이너 및 디렉터리 컨테이너(*.aff4 및 *.turtle 확장자)가 지원됩니다. 다중 볼륨 구문 분석(*.A01, *.A02, …)이 지원됩니다.

4. Pathways 업데이트

EnCase Forensic의 Pathways 워크플로우 도구가 크게 업데이트되었습니다.

Pathways는 이제 더욱 모듈화 되어 사용자 간에 Pathways를 더 쉽게 공유할 수 있습니다.

5. Facebook 정보 파일에서 증거 분석

이제 EnCase Forensic을 사용하여 사용자의 Facebook 정보 파일에서 증거를 수집하고 파싱할 수 있습니다.

Facebook 정보 파일은 Facebook에서 사용자 계정을 통해 생성한 JSON 파일입니다. (사용자의 사진 앨범, 댓글, 메시지, 게시물의 모음.)

EnCase Forensic의 Add Evidence > Acquire > Storage를 통해 이 기능을 사용할 수 있습니다.

증거는 논리적 증거 파일로 출력됩니다.

6. Slack workplace 커뮤니케이션 도구에서 수집

이제 EnCase Forensic을 사용하여 Slack workspace 커뮤니케이션 도구에서 증거를 수집할 수 있습니다.

그룹 및 다이렉트 메시지 모두 수집이 가능합니다.

증거는 날짜별로 필터링할 수 있으며 수집된 증거는 EnCase Forensic의 Artifacts 또는 Social Media Artifacts 탭에서 검사할 수 있습니다.

또는 증거 파일로 수집하지 않고, 대신에 Preview 형태로 보는 것도 가능합니다.

EnCase Forensic의 Add Evidence > Acquire > Storage를 통해 Slack 컬렉션 기능을 사용할 수 있습니다.

증거는 논리적 증거 파일(LEF)로 출력됩니다.

7. 새로운 macOS 에이전트 installer.sh 스크립트

macOS 에이전트는 installer.zip 외에 사용 가능한 installer.sh 스크립트를 사용하여 설치할 수 있습니다.

스크립트를 사용하려면 installer.sh 파일을 대상 머신의 /tmp 폴더에 복사하고 스크립트에 대한 실행 권한을 설정하고 루트권한으로 실행합니다.

8. 인터넷 아티팩트: 업데이트된 Safari 브라우저 지원

EnCase Forensic은 Apple Safari 웹 브라우저 버전 70.0.3538.67에서 인터넷 브라우저 아티팩트 수집에 대한 지원을 업데이트했습니다.

9. 업데이트된 언어 지원

EnCase Forensic 사용자 인터페이스가 다음 언어에 대해 업데이트되었습니다.

• 아랍어

• 중국어 (간체)

• 중국 (번체)

• 네덜란드어

• 프랑스어

• 독일어

• 이탈리아어

• 일본어

• 한국어

• 폴란드어

• 포르투갈어

• 스페인의

• 터키어

EnCase Forensic의 이러한 언어 버전은 OpenText My Support에서 다운로드할 수 있습니다.

10. EnCase review 패키지에서 파일 복사

EnCase Forensic에 포함된 EnCase Evidence Viewer를 사용하면 이제 사용자가 파일을 선택하고 review 패키지에서 복사할 수 있습니다.

11. Java Runtime Edition 업데이트

EnCase Forensic에는 이제 Java Runtime Edition 18.0.1.1이 포함됩니다.

12. 모바일 개선 사항

iOS 장치 및 iOS 백업 가져오기에서 논리적 획득 중에 수신된 데이터에 대한 권한 세부 정보 그리드가 추가됩니다.

권한 세부 정보 표에는 권한 수정 날짜 및 이유에 대한 정보가 포함됩니다.

13. 온라인 도움말 개선 사항

EnCase Forensic 온라인 도움말에 액세스하면 이제 EnCase SAFE 사용자 가이드 및 EnCase Artifact 참조 가이드를 편리한 탭 형식으로 사용할 수 있습니다.

이 가이드에 액세스하려면 온라인 도움말 페이지에서 해당 탭을 클릭하기만 하면 됩니다.

14. EnCase 아티팩트 참조 가이드 업데이트

EnCase 아티팩트 참조 가이드에는 22.3 릴리스에 도입된 모든 새로운 아티팩트와 이전에 게시된 아티팩트가 포함되어 있습니다.

EnCase Artifact Reference Guide는 온라인 도움말 및 OpenText My Support에서 다운로드할 수 있습니다.

이 종합 가이드에는 EnCase Forensic을 사용하여 수집한 아티팩트에 대한 정보가 포함되어 있습니다

※ EnCase Forensic v22.3의 CodeMeter Runtime Kit 버전은 v7.30a입니다.