EnCase Forensic v7

EnCase 가 버전 6에서 7으로 업그레이드 되면서 인터페이스 뿐만 아니라 기존의 있던 기능들을 보다 편리하고 합리적인 방법으로 변경되었다는 느낌을 받았다. 오늘은 가장 기본이 되는 화면들을 살펴보고자 한다.

설치는 간단해서 별도로 설명이 필요 없을 것 같다. 설치 후 바탕화면에 생성되는 아이콘을 클릭하면 아래와 같은 EnCase Forensic v7 이 실행된다. 전체적으로 웹 인터페이스와 유사하게 만들었다.

 

시작을 위해 Case를 생성해야 한다. 메뉴에서 [Case –> New Case]를 차례로 클릭하거나 화면에서 New Case를 클릭하면 Case 정보를 입력하기 위해 아래와 같은 화면이 출력된다. Case를 생성하기 위해 기본적인 템플릿을 제공한다. EnCase가 설치된 폴더에 Tempalte 폴더를 보면 아래 그림에서 보이는 템플릿과 일치하는 파일(*.CaseTemplate)들이 존재한다. 단순한 텍스트 파일은 아닌 것으로 보아 사용자가 템플릿을 생성할 수는 있지만 별도의 툴을 이용해야 하는 것 같다. 이 부분은 추후에 살펴보도록 하자.

우선 여기서는 2번 Forensic 을 선택하고 아래 그림과 같이 필요한 정보를 입력하였다.

필요한 정보를 모두 입력한 후 OK 버튼을 누르면 입력값에 대한 몇 가지 검증을 거쳐 이상이 없을 경우 아래와 같이 정상적으로 Case가 생성된다.

Case가 생성되었다면 가장 첫 번째로 해야 하는 작업은 증거물을 추가하는 작업일 것이다. “Add Evidence” 를 눌러 증거물을 추가해보자. “Add Evidence”를 누르면 아래와 같은 메뉴가 보일 것이다.

분석가가 수집한 증거물의 형태에 따라 적절한 메뉴를 선택하면 될 것이다. 여기서는 GuidenceSoft 에서 제공하는 예제 이미지를 사용하기 위해 “Add Evidence File” 을 선택한 후 해당 파일을 추가하였다.

추가함과 동시에 해당 이미지에 대한 검증(Verifying)작업이 자동으로 시작된다. 아래그림 오른쪽 하단에 진행상태가 표시된다.

검증작업이 완료되면 아래 그림과 같이 트리구조의 폴더와 파일이 보이는 판과 특정 폴더 혹은 파일을 클릭했을 때 해당하는 정보가 출력하는 판으로 크게 구분된다. 이전버전과 다른 점은 폴더 혹은 파일의 세부내용이 가로로 출력되던 것이 세로로 출력된다는 것이 눈에 가장 먼저 들어왔다.

(아직 EnCase Forensic 7 을 사용해본 사용자가 많이 없는 것 같아) 오늘은 정말 간단하게 EnCase Forensic 7 의 새로워진 모습을 소개하는 간단한 글을 작성해 보았다. 다음부터는 세부적인 기능들을 하나씩 살펴보도록 하겠다.