인케이스(EnCase) 에서 파일명이 한 자리인 파일들 확인하기

최근 침해사고대응을 하다보면 파일명이 단 하나인 것을 심심치 않게 볼 수 있다. 예를 들면 x.exe  와 같은 것을 말한다. 이런 규칙들로 구성된 파일을 찾기 위해서는 기존의 파일 브라우저를 통해서는 전체를 한 눈에 확인하는 것은 어렵다. 이 글에서 예를 들고자 하는 것은 인케이스(EnCase) 이다. 인케이스는 기본적으로 알파뱃과 특수문자 그리고 숫자로 이루어진 파일명을 기준으로 정렬한다. 그러기 때문에 a.exe 와 b.exe 사이에는 수 많은 파일들이 존재하게 된다.

인케이스에서  Conditions 를 이용하면 어렵지 않게 파일명이 한 자리인 파일들만을 목록화 하여 확인할 수 있다. 조건은 아래와 같다.

1. Description 이 "Folder" 가 아니면서
2. 파일명 뒤에서 내번째에 피리어드(".")가 있어야 하고
3. 파일명에서 확장자를 제거한 이름의 길이가 하나인 것

인케이스 Conditions 에서 Insert 키를 클릭하거나 "Conditions" 를 마우스 오른쪽 버튼을 눌러 나타난 메뉴에서 "New" 를 클릭하여 새로운 Condition 을 생성한다. 다음으로 Condition 의 이름을 결정한다. 여기서는 "one char file name" 이라고 하였다. 이렇게 생성한 Condition 에 조건을 추가하기 위해, 위 그림에서 볼 수 있는 것 처럼 "f() Main" 에 마우스 오른쪽 클릭하여 나타난 "New" 를 클릭한다. 이런 식으로 위에서 언급한 세 가지의 조건을 추가하면 된다.

단, 여기서 언급하고 싶은 것은 두 번째와 세 번째 조건을 생성하기 위해서는 단순 클릭만으로는 생성할 수 없다. (이 글을 쓰는 이유이기도 하다. ^^*) 따라서 조건을 생성하는 화면에서 "Source Code" 탭을 클릭 후 "Edit Source Code" 를 체크한 후 직접 코드를 입력해야 한다.

Condition 에 내부 함수를 만들어 사용하고 싶은데 여기서는 그렇게 까지 할 수 없고 일정한 형식에 맞춰 텍스트 파일을 만든 후 Conditions 의 Import 기능으로 Condition 을 추가하면 좀더 자유롭게 Condition 을 생성할 수 있다. 일정한 형식을 보고 싶으면 Condition 중 하나를 Export 하여 확인할 수 있다. (위에서 만든 것을 Export 한 것을 첨부하였으니 참고하세요.)

one_char_file_name.txt

이렇게 만들어진 인케이스의 "one char file name" Condition 을 적용하였을 때, 왼쪽 그림과 같이 파일명의 길이가 한 자리인 파일들을 한 눈에 확인할 수 있다. 

더불어 알 수 있었던 것은 왼쪽 그림에서와 같이 한글이 2 Byte 가 아니라 길이는 1 로 처리되는 것을 알 수 있다.

그럼 오늘도 즐거운 하루 보내세요 ^^;