'Technology'에 해당되는 글 41건
- 2014.04.28 Live Forensic 도구
- 2012.10.25 중소기업 보안담당자를 위한 보안Tool 활용법
- 2011.05.03 EnCase 7 Preview
- 2011.03.29 EnCase Windows Initialize Case for Win7
- 2010.07.30 Sysinternal Tools Updater
- 2010.07.29 EnCase 6.17 출시
- 2009.12.14 Sixth Sense at TED 2
- 2009.10.26 EnCase 의 HWP2007 지원? 4
- 2009.09.06 ImageMASSter Solo-4 Forensic
- 2009.09.01 Hiren's BootCD 10.0
Live Forensic 도구 모음
| 도구명 | 라이선스 | 지원OS | 인터페이스 | 제조사 (또는 제작자) |
| FRED (First Responder’s Evidence Disk) | 무료 | Windows | GUI | Dark Particle Labs |
| WFT (Windows Forensic Toolchest) | 프리웨어/상용 | Windows | CLI | FoolMoon |
| TRIAGE-IR(TRIAGE : Incident Response) | 오픈소스 | Windows | GUI | Michael Ahrendt |
| Dual Purpose Volatile Data Collection Script | 오픈 소스 | Windows | CLI | Corey Harrell |
| IRCR (Incident Response Collection Report) | 오픈 소스 | Windows | CLI | mcleodjp |
| COFEE (Computer Online Forensic Evidence Extractor) | 비공개 | Windows | CLI | Microsoft |
| MIR (MANDIANT Intelligent Response) | 상용 | Windows | GUI | Mandiant |
| OnLineDFS (OnLine Digital Forensic Suite) | 상용 | Windows | CLI | CST |
| MacResponse LE™ | 오픈소스 | Macintosh | GUI | AIS |
| USB Live Acquisition and Triage Tool (US-LATT) | 비공개 | Windows | GUI | WetStone Technologies |
| Live Marshal | 사법기관/상용 | Windows | GUI | ATC-NY |
'Technology > S/W' 카테고리의 다른 글
| 중소기업 보안담당자를 위한 보안Tool 활용법 (0) | 2012.10.25 |
|---|---|
| EnCase 7 Preview (0) | 2011.05.03 |
| EnCase Windows Initialize Case for Win7 (0) | 2011.03.29 |
| Sysinternal Tools Updater (0) | 2010.07.30 |
| EnCase 6.17 출시 (0) | 2010.07.29 |
내용을 보시려면 비밀번호를 입력하세요.
EnCase 7 Preview Edition
Version 7.0.10.38
Build qaau0000001E 04/30/11 12:19:53PM
UI의 대대적인 변경.
희대의 삽질이 될 것인가 아니면 한단계 도약이 될 것인가.
'Technology > S/W' 카테고리의 다른 글
| Live Forensic 도구 (0) | 2014.04.28 |
|---|---|
| 중소기업 보안담당자를 위한 보안Tool 활용법 (0) | 2012.10.25 |
| EnCase Windows Initialize Case for Win7 (0) | 2011.03.29 |
| Sysinternal Tools Updater (0) | 2010.07.30 |
| EnCase 6.17 출시 (0) | 2010.07.29 |
현재 EnCase 6의 Case Process EnScript 중 Windows Initialize Case(WIC)가 Windows 7을 제대로 지원하지 않고 있습니다.
곧 나올 EnCase7에서는 해결될지 어떨지 모르지만 암튼 불편하죠.
해당 EnScript를 약간 수정하면 Windows7에서도 WIC가 돌아갑니다.
아직 EnCase 내부에서 Windows 7을 처리하는 루틴이 제대로 되어 있지 않아서 일단 Vista인 것처럼 속이는 방법을 쓰는 우회방법입니다.
일단
\EnCase 6\Enscript\Include 폴더에 있는
GSI_Reg_InitializeCaseUtilityLib 을 수정해야 합니다.
요렇게 되어 있는 내용을
요렇게 바꾸어 주시면 됩니다.
그다음, 같은 폴더에 있는
GSI_SweepCaseLib 파일의 내용 중에서
요렇게 되어 있는 내용을 찾은 후 그 아래에
요 내용을 추가해 주시면 됩니다.
Thanks Adam ;-)
'Technology > S/W' 카테고리의 다른 글
| 중소기업 보안담당자를 위한 보안Tool 활용법 (0) | 2012.10.25 |
|---|---|
| EnCase 7 Preview (0) | 2011.05.03 |
| Sysinternal Tools Updater (0) | 2010.07.30 |
| EnCase 6.17 출시 (0) | 2010.07.29 |
| EnCase 의 HWP2007 지원? (4) | 2009.10.26 |
Don't miss this great script if you're using tools from sysinternals!
Source : http://sysadmingeek.com/articles/batch-script-to-auto-update-sysinternals-tools/
@ECHO OFF
TITLE Sysinternals Updater
ECHO Sysintenals Updater
ECHO Written by: Jason Faulkner
ECHO SysadminGeek.com
ECHO.
ECHO.
SETLOCAL ENABLEDELAYEDEXPANSION
SET SysInternalsTools="%Temp%\SysInternalsTools.tmp.txt"
SET CurrentTasks="%Temp%\CurrentTasks.tmp.txt"
SET StartWhenFinished="%Temp%\StartWhenFinished.tmp.txt"
ECHO Detected directory: %~dp0
%~d0
CD %~p0
ECHO.
ECHO.
ECHO Downloading current tool list...
SET LiveShare=\\live.sysinternals.com\tools
START /MIN %LiveShare%
DIR %LiveShare% /B > %SysInternalsTools%
TASKLIST > %CurrentTasks%
ECHO ;Terminated tools > %StartWhenFinished%
ECHO.
ECHO Updating installed SysInternals tools
FOR /F %%A IN ('DIR /B') DO (
FOR /F "usebackq" %%B IN (%SysInternalsTools%) DO (
IF /I [%%A]==[%%B] (
ECHO Updating %%A
FOR /F "usebackq" %%C IN (%CurrentTasks%) DO (
IF /I [%%A]==[%%C] (
ECHO %%C is currently running, killing process - queue restart
ECHO %%C >> %StartWhenFinished%
TASKKILL /IM %%A /T /F
)
)
XCOPY %LiveShare%\%%B %%A /Y
ECHO.
)
)
)
ECHO.
ECHO Resuming killed tasks
FOR /F "usebackq skip=1" %%A IN (%StartWhenFinished%) DO (
ECHO Starting %%A
START "Sysinternals Tool" "%%A"
)
IF EXIST %SysInternalsTools% DEL %SysInternalsTools%
IF EXIST %CurrentTasks% DEL %CurrentTasks%
IF EXIST %StartWhenFinished% DEL %StartWhenFinished%
ENDLOCAL
ECHO.
PAUSEJust in case If you don't like to "type" or "copy and paste".
Sysinternals_Updater.batScreenshot
'Technology > S/W' 카테고리의 다른 글
| EnCase 7 Preview (0) | 2011.05.03 |
|---|---|
| EnCase Windows Initialize Case for Win7 (0) | 2011.03.29 |
| EnCase 6.17 출시 (0) | 2010.07.29 |
| EnCase 의 HWP2007 지원? (4) | 2009.10.26 |
| Hiren's BootCD 10.0 (0) | 2009.09.01 |
일단 최신 HDD부터 구매를 해야 하겠군요. -_-;;.
'Technology > S/W' 카테고리의 다른 글
| EnCase Windows Initialize Case for Win7 (0) | 2011.03.29 |
|---|---|
| Sysinternal Tools Updater (0) | 2010.07.30 |
| EnCase 의 HWP2007 지원? (4) | 2009.10.26 |
| Hiren's BootCD 10.0 (0) | 2009.09.01 |
| Power Data Recovery (0) | 2009.08.19 |
아직 HWP 지원은 완벽하지 않습니다.
현재 HWP2005까지 검색이 가능합니다.
물론 Raw Keyword 검색은 되지 않고 Indexing을 해야하는 불편함이 있습니다.
그나마도 HWP2007 파일의 경우 Unsupported File Format 이라는 오류가 나오기도 합니다.
그런데 연구(?)를 해보니 EnCase 내에서도 HWP2007 파일을 보고 검색할 수 있는 꽁수가 있더군요.
EnCase 에서 내용이 확인되지 않습니다.
Text 추출 역시 지원되지 않습니다.
이 상황에서 몇가지 설정을 건드려 주었더니
EnCase에서 HWP 파일의 Native view 할 수 있습니다. 참 쉽죠? (응?)
텍스트만 추출할 수도 있습니다. 따라서 키워드 검색도 할 수 있습니다.
국산 솔루션에 비해 가장 아쉬웠던 기능 중 하나였는데 이렇게 꽁수를 쓰면 검색이 가능해지니 다행(?)입니다.
EnCase에 HWP 최신버전 지원이 정식으로 들어가길 바랍니다.
알집(ALZ) 형식도 자체적으로 확인 가능한 것도 필요할까요?
'Technology > S/W' 카테고리의 다른 글
| Sysinternal Tools Updater (0) | 2010.07.30 |
|---|---|
| EnCase 6.17 출시 (0) | 2010.07.29 |
| Hiren's BootCD 10.0 (0) | 2009.09.01 |
| Power Data Recovery (0) | 2009.08.19 |
| FTK 3.0 출시 예정? (0) | 2009.08.18 |
IM Solo 4가 ICS 홈페이지에 업데이트되었습니다.
.: Extreme
Speed: Captures, authenticates and sanitizes at full UDMA-6 Speed
(exceeding 7GB/m*) * With Newest, Fastest SAS Drives
.: Multiple "Suspect" Side
Connections: 2 SATA/SAS connections and 1 USB 2.0 connection. Unit
features built-in support for imaging of a RAID drive pair
(0,1,JBOD).
Optional Drive Adapters will allow imaging of IDE drives, 1.8",
2.5" ZIF, and proprietary interface/Laptop drives, and Micro Media Cards
including Compact Flash, Memory Sticks, SD, Micro SD, MultiMedia cards,
etc.
Cross Copy support allows user to image any "Suspect" Drive interface to
any "Evidence" Drive Interface.
All "Suspect" Drive connections are
permanently write-protected at all times to prevent changing of "Suspect" Data
(cannot be disabled)
.: Multiple "Evidence" Side
Connections: 2 SATA/SAS connections and 2 USB 2.0 connections. Optional
Drive Adapters will allow imaging to many other drive formats including external
RAID devices.
.: Multiple Operational Modes:
Captures "Suspect" drives to one "Evidence" Drive (Single Copy Mode), Captures
"Suspect" drive to two "Evidence" drives (Multi Copy Mode), Captures
two "Suspect" Drives to two "Evidence Drives (Parallel Copy), Drive Wiping and
Sanitization, Drive Hashing (SHA-1, SHA-256), Captures "Suspect" Data from
Networked Storage and any attached Network Share. All processes are done
simultaneously with no speed degradation.
.: Multiple Imaging
Formats: 100% Copy (bit-by-bit), Linux DD images (industry standard) on
a single "Evidence" Hard Drive or USB storage device. User can define the seize
of the Linux DD segments. IQ Copy, captures the actual "data only" greatly
reducing the time needed to make a non-forensic copy. Support of E01 files
coming soon.
.: 'On the fly" Drive Image
Encryption: Built-in DiskCypher technology allows the full encryption
(AES 256) of Forensic Images. The process is done without speed degradation
during the acquisition process.
.: Windows XP Operating
System: Solo-4 runs on the highly stable and proven Windows XP
Operating System. Unit can be customizable for individual organization needs
upon request.
.: Drive Spanning: Solo-4 allows for the
imaging from one large "Suspect" Drive to multiple smaller "Evidence"
Drives.
.: Linux DD Restore: Restore a previously captured
DD Image to a fully bootable 100% working copy.
.: Drive
Wiping: Supports single pass or full DoD Sanitization.
.:
Multiple Hash Verifications: SHA-1, SHA-256, MD-5
.:
Intuitive Easy to use Interface: 8" Full Color, user friendly touch
screen.
.: Captures Suspect Data from Network Storage:
Solo-4 forensically captures "Suspect" Data from Networked drives and folders
using 1 Gigabit Ethernet Connection.
.: Uploads "Suspect" Images to
Network Storage: Solo-4 forensically uploads "Suspect" Data Images to
Networked Storage Area using 1 Gigabit Ethernet Connection for the purpose of
processing and archiving forensic images.
.: Preview "Suspect" Data
directly on the unit: Preview active files on the "Suspect" Drive
utilizing a built-in file viewer.
.: Drive Lock Functionality for use
with a Forensic WorkStation: Utilizing the "Suspect" "always on" write
protection, Solo-4 can be used attached to a Forensic Work Station via USB
connection to allow the preview, capture or analysis of "Suspect" Data in a safe
environment.
.: USB Card Reader Support: Supports Micro
Media Formats (Compact Flash, memory sticks, SD, Micro SD, etc.) expanding the
option of types of "suspect" Media that can be captured.
너무 좋아보이는데요... Isn't it too good to be true yet?
'Technology > H/W' 카테고리의 다른 글
| ICS Solo 4 (0) | 2009.08.26 |
|---|---|
| EnCase Portable Second Look (0) | 2009.08.18 |
| EnCase Portable first look (0) | 2009.08.17 |
| More on EnCase Portable (0) | 2009.06.24 |
| EnCase Portable (0) | 2009.05.21 |
다운로드 페이지에는 아직 9.9까지만 올라와 있는 상황입니다.
우선 Torrent 파일을 이용해 다운 받을 수 있습니다.
CRC32: 20586976
MD5: D81669070C5D1A0C4B2A4DAAC0EF1CAB
SHA-1: 8CD29509788AD45C57BCF27BE25C15BA46455E36
변경사항은 다음과 같습니다. +는 추가, -는 제외된 항목입니다.
'Technology > S/W' 카테고리의 다른 글
| EnCase 6.17 출시 (0) | 2010.07.29 |
|---|---|
| EnCase 의 HWP2007 지원? (4) | 2009.10.26 |
| Power Data Recovery (0) | 2009.08.19 |
| FTK 3.0 출시 예정? (0) | 2009.08.18 |
| UserAssist Tool Version 2.4.3 (0) | 2009.08.12 |
