증거 채증 (이미징)
- 포렌식적으로 무결성을 증명할 수 있는 방법으로 증거물을 채증 할 수 있습니다.
- EnCase FE부터 모든 이미징 된 증거물들은 RAM이 아니라 디스크에 EnCase 증거 파일 형식(E01, L01, Ex01, Lx01)으로 저장되기 때문에 조사관의 컴퓨터 용량을 거의 차지하지 않습니다.
- 새로운 증거 파일 (Ex01, Lx01)을 직접 EnCase 안에서 암호화할 수 있기 때문에 증거 파일 형식의 보안성이 더욱 향상되었으며 별도의 프로세서 동글을 추가로 사용할 수 있어 프로세싱 속도를 극대화할 수 있습니다.
채증 가능 영역
- 디스크, RAM, 문서, 이미지, 이메일, 웹 메일, 인터넷 아티팩트, 웹 히스토리, 캐시, HTML, 페이지 재복원, 채팅 세션, 압축파일, 백업 파일, 암호화 파일, RAID, 워크스테이션, 서버 등.
- EnCase V7부터 스마트폰, 태블릿 채증 가능.
지원되는 OS형식
[Apple’s iOS] / [Google’s Android OS] / [Rim’s Blackberry OS] / [Nokia Symbian] / [Microsoft’s Windows Mobile OS] / [Google Nexus 7] / [Acer Iconia Tab A500] / [Samsung Galaxy Tab 2] / [Kiindle fire HD]
[다양한 종류의 인터넷 접속 증거복구]
- 소셜 네트워크 결과물 : Twitter, Facebook, 마이스페이스,구글+
- 클라우드 사용흔적: Google Drive, SkyDrive, Dropbox, Flickr, Google
- 인스턴트 메시징: 스카이프, 구글토크, 윈도우 라이브 메신져, ICQ, 야후 메신져
- 웹 브라우져 히스토리: 인터넷 익스플로어, 크롬, 사파리, 파이어폭스, 오페라 등
- 웹 메일 분석: 지메일, 핫메일, 등
- P2P 파일 공유 응용프로그램: Torrent, Ares, eMule, Shareaza, Limewire, Gigatribe
- E01/.Ex01/L01/Lx01/dd 등 이미지 파일 지원, 비할당 영역 및 삭제된 데이터 복구 및 검색 가능
- OS Artifacts 분류 및 분석
- 문서 분류 및 메타데이터 분류
[포렌식적 채증]
- 원본 드라이브나 매체의 정확한 바이너리 복사본을 생성하여 관련 이미지 파일의 MD5 해시값을 생성하고 그 데이터에 CRC 값을
할당하여 확인함.
- 증거가 변조되었을 경우 이런 검사와 값이 다르며 모든 디지털 증거가 법정이나 내부 조사에 사용가능하도록 포렌식적으로 채증이
가능
- 케이스의 증거용량이 날이 갈수록 증가함에 따라, 조사관들은 대용량의 증거를 좀더 빠르게 조사해야할 필요가 늘어나가 있음.
- EnCase의 Evidence Processor를 통해 빠르고 신뢰할 수 있는 프로세싱이 가능함.
- EnCase e-Discovery에서 사용되는 강력한 프로세싱/인덱싱 엔진 사용으로 성능 최적화.
- Enscripts 기능을 프로세싱을 할 때 추가함으로써 Enscripts 작업시간 절약.
- 조사관이 항상 수행하는 여러 작업들을 자동화함.
** EnCase Evidence Processor로 프로세싱 중 가능한 작업 **
[폴더 복구] / [파일 시그너처 분석] / [암호걸린 파일 분석] / [해시 분석 (MD5, SHA-1)] / [복합파일 압축풀기] / [이메일 검색 (PST, NSF, DBX, EDB, AOL, MBOX)] / [인터넷 객체 검색 (IE, Firefox, Safari)] / [키워드 검색] / [인덱싱]
** EnCase Enscript Module로 프로세싱 가능한 작업 **
[System Info Parser] / [IM Parser (AOL, MSN, Yahoo)] / File Carver] / [Personal Information (CC, Phone Numbers, Email, SSN)] / [Windows Event Log Parser] / [Windows Artifact Parser] / [Unix Login] / [Linux Syslog Parser]
[삭제된 데이타 복구]
[파일 및 파티션 복구] / [이벤트 로그 파싱으로 삭제 파일 감지] / [파일 시그너처 검색] / [해시분석 (복합파일이나 비할당 디스크 공간도 가능)] 등의 기능으로 복합 파일이나 비할당 디스크 영역에서도 삭제된 파일 감지 가능
[라이브 포렌식기능]
- EnCase SAFE를 설치하지 않고도 IP네트워크 상에서 라이브 조사 및 채증 가능.
- 네트워크에 연결된 하나의 컴퓨터에 서블릿을 원격으로 설치하여 컴퓨터나 하드디스크를 읽고 채증,모니터할 수 있음.
- 디스크를 따로 분리하지 않고도 실시간 포렌식조사 가능.
[EnCase Forensic Imager]
- 새롭게 출시된 제품으로 포렌식적으로무결성을 검증할 수 있는 방법으로 EnCase 증거파일을 생성하거나 논리적 증거파일을 생성하
기 위해서만 사용할 수 있음.
- 프로세싱, 분석 등의 기능이 포함되지 않음.
- 별다른 EnCase 교육이 필요없이 쉽게 사용할 수 있으며, 추가 비용이 없이 무료로 다운받아 사용할 수 있음.
[심층 포렌식 분석 작업]
** 고급검색 **
- 전체 케이스에서 사용이 쉽고 강력한 검색 인터페이스.
- 인덱스, 키워드 검색, 태깅 등으로 검색 가능.
** 강력한 이메일 조사능력 **
- 실제 이메일과 동일한 인터페이스에서 쉽게 이메일 조사 및 분석.
- 모든 관련 대화와 메시지를 보여주고 하나의 이메일과 관련된 모든 메시지의 상관관계 해독.
** 태깅 **
- 조사관이 원하는 데로 태깅을 만들어 해시값을 포함하여 파일에 추가한 후 다른 조사관들이 조사할 수 있도록 별도 파일로
내보내기 가능.
** EnCase V7 이상에서 추가로 지원되는 파일시스템 및 파일타입 **
- EXT4, HSFX, Microsoft Office 2010
- iOS 물리적 이미지 (iPad, iPhone, iPod)
[Passware Kit Forensic 과 통합 사용 가능]
- Evidence Processor를 사용해서 인크립트 파일 감지를 자동화 시킴.
- 파일의 암호가 Passware Kit Forensics을 사용하여 해독되면 추가적인 분석을 위해 다시 EnCase Forensics으로 돌아와 분석가능.
[생산성 향샹]
- 데이터가 채증되는 동안 결과 값 미리보기 가능.
- 일단 이미지 파일이 생성되면, 여러 개의 드라이브나 매체를 동시에 검색 및 분석 가능
[자동화된de-NISTing 기능]
- 국가표준 참조 데이터 (National Software Reference Library (NSRL))가 EnCase 해시라이브러리 포맷으로 제공되어 증거
셋에서 수천 개의 알려진 파일을 제거함으로써 분석하는 데 필요한 시간 및 데이터 양을 줄일 수 있음.
[다양한 File Viewer 지원]
- 원래의 형식, 내장 레지스트리 뷰어, 통합 이미지 뷰어로 수백 개의 파일 포맷 보기 및 타임라인/캘린더로 결과보기 가능.
[자동화된 보고서 생성]
- URL, 방문일자 및 시간 등에 대한 자세한 리스트와 함께 모든 파일 및 폴더 리스트를 포함하는 리포트 추출 가능.
- 하드 드라이브 정보, 채증관련 정보, 드라이브 구조, 폴더 구조 등에 대한 자세한 정보 제공.
[유용한 데이터(Actionable Data)]
- 법정 제출용, 또는 조사 결과를 원하는 관련 당사자들에게 제공할 수 있는 통합적인 리포트를 생성할 수 있음.