포렌직 하면서 공통적으로 수행하는 작업중 하나가 키워드서치 인데, 항상 강조 하듯이 키워드선정은 아주 신중을 기해서 해야 한다. 많은 시간을 가지고 키워드가 무엇을 잡으려고 하는지를 정확히 이해해야 좋은 결과를 얻을 수 있다. 키워드 선정할 때의 한가지 방법을 소개하자면, 포렌직컨설팅 시에는 보통 인터뷰를 시작으로 포렌직 업무를 시작하게 되는데, 이때 note taking을 잘 해 두어야 한다. interviewee가 평소 쓰는 은어, 단어, 동사들을 중심으로 note를 정리해야 한다. Key가 되는 사람,회사,물건이름등의 명사를 중심으로 categorize 시킬 것. Note 정리된 것에서 단어를 뽑는 방법은 DtSearch에서 인덱싱후에 Words만 추출하면 되겠다. 그런후 필요 없는 단어를 삭제해 ..
Search중에서 정말 유용하게 써먹는 Search Techniq중 하나가 Proximity인데 안타깝게도 EnCase는 이 기능을 flexible하게 지원하지는 않는다. 지원은 한다는 말이다. Proximity Search를 사용하기 위해서는 Case를 Indexing하고(Enscript) Filter pane내의 built-in condition을 사용하도록 하자. 단, Proximity Search를 이용할때에는 키워드 선택을 신중히 하여야 함을 잊지 말자.
John J. Barbara가 DFI에 올린 article에서 live system의 triage로써 "Pulling the Plug"가 항상 옳지만은 안다고, 상황을 적절히 판단해야 한다고 올린 내용에서 일부 발췌. When Not to "Pull the Plug" What applications are installed Capture a list of running processes View network adaptors and open ports Collect browser histroy and IP addresses View most recently opened documents Obtain a list of users Gather a list of USB devices that have been..
DB의 복구 가능 여부는? 다음의 경우에 불가능 그림 1: 테이블에 할당된 블록. (로우는 회색 사각형으로 표시됨) 그림 2: 일부 로우가 삭제된 후 (HWM은 변경되지 않았음) 그림 3: 재구성작업을 거친 뒤의 테이블 블록 그림 4: Shrink 작업 수행 후 free block이 데이타베이스로 반납된 결과 마지막으로 Eraser로 반납된 Free Block을 지워버리면 복구 불가능하다. 위의 경우는 DB가 삭제된지 얼마 지나지 않은 시간 후에 복구를 할 경우 적용된다는 점을 명시할 것. 오랜 시간이 지난후에는 대부분의 DB Records는 새로운 Records에 의해 덮어 씌어지게 됨. MSSQL의 경우 DB(.MDF) 자체만으로 복구는 불가능 함.
OS가 설치될 때에는 먼저 File System이 생성되고 이후 OS가 설치된다. File System이 생성될 때에는 OS가 없기 때문에 시간정보를 BIOS에서 가져오고 OS가 설치되면 GMT 설정에 따라 BIOS +GMT 의 시간을 표시하기 시작한다. EnCase에서는 File System 생성시각이 GMT가 반영된 시간이라고 생각하기 때문에 +_GMT된 시간으로 표시해 준다. 예) File system 생성 시간 : 18:38 (GMT+9) OS 설치 완료 시간 : 19:50 (GMT+9) => EnCase 로 File System 시간을 보면 : 9:38 " OS 설치 시간을 보면 : 19:50 http://www.forensickb.com/2009/05/file-system-creation-da..