EnCase 실무 활용 가이드
- EnCase 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
해시 분석 [ by 김종광 ]
해시 분석
해시 분석을 위해 파일의 해시값을 계산합니다. EnCase의 2가지 해시 계산 방법 중 Process Evidence 활용 방법입니다.
Process Evidence의 경우 Evidence File 전체의 해시를 계산합니다.
해시 분석
Process Evidence의 경우 전체 해시값을 구하기 때문에 오랜 시간이 소요됩니다.
이러한 단점을 해결하기 위해 사용자가 필요한 경로의 파일 또는 특정 파티션만 선택적으로 해시 계산이 가능합니다.
해시 분석
해시 알고리즘을 선택후 [ok]버튼을 클릭하여 작업을 진행합니다.
선택적으로 해시를 계산함으로 Process Evidence 보다 빨리 결과를 확인할 수 있습니다.
해시 매칭
다음은 특정 파일이 분석 대상 PC에 존재하는지 확인하기 위해 원본 파일의 해시값을 매칭시키는 프로세스입니다.
해시 매칭
Condition을 활용하여 해시값을 매칭합니다. [ Condition ] 생성 방법은 [ 07. Condition 활용 ]을 참고 바랍니다.
해시 매칭
Disk 전체 데이터 중 동일한 해시값이 있는 파일을 필터링한 결과 화면입니다.