'Technology'에 해당되는 글 41건
- 2009.04.20 중복파일제거
- 2009.04.02 FTK Imager 2.5.5
- 2009.03.27 EnCase 6.13 Windows Initialize Case 문제
- 2009.03.26 EnCase V6
- 2009.03.26 EnCase V5
- 2009.03.26 EnCase V4
- 2009.03.26 EnCase V3
- 2009.03.26 EnCase V1
- 2009.03.02 FTK 2
- 2008.11.19 EnCase 6.12 출시
Lance Mueller 의 blog에 공개된 내용입니다.
EnCase로 조사를 수행하다 보면 중복된 파일을 필터링해야할 필요가 있습니다.
EnCase에서 기본으로 제공하는 필터인 "Unique Files by Hash"가 있긴 하지만 이 필터는 Case 내의 모든 파일에 적용되는 필터입니다.
Lance Mueller가 수정한 EnScript에서는 선택한 파일을 대상으로만 필터가 적용됩니다.
필터 창에서 새로만들기로 붙여넣어주시면 됩니다.
EnCase로 조사를 수행하다 보면 중복된 파일을 필터링해야할 필요가 있습니다.
EnCase에서 기본으로 제공하는 필터인 "Unique Files by Hash"가 있긴 하지만 이 필터는 Case 내의 모든 파일에 적용되는 필터입니다.
Lance Mueller가 수정한 EnScript에서는 선택한 파일을 대상으로만 필터가 적용됩니다.
필터 창에서 새로만들기로 붙여넣어주시면 됩니다.
012
'Technology > S/W' 카테고리의 다른 글
| Helix 3 Pro 2009 R2 출시 (0) | 2009.06.30 |
|---|---|
| Install Servlet for Sun Solaris (0) | 2009.05.04 |
| FTK Imager 2.5.5 (0) | 2009.04.02 |
| EnCase 6.13 Windows Initialize Case 문제 (0) | 2009.03.27 |
| EnCase V6 (0) | 2009.03.26 |
FTK 2.5.5.22 실행화면
기능 : 물리디스크나 DD, Smart, Expert Witness(E01) 이미지로부터 신규 이미지 등을 생성하거나 추출할 수 있음
라이센스 : Free
변경사항 : 기존버전에서 생성한 E01 파일을 EnCase에서 읽을때 발생하던 오류 수정
다운로드
2.5.4 이전 버전에서 생성한 Image를 EnCase에서 읽어들일때 보이는 에러 메시지
'Technology > S/W' 카테고리의 다른 글
| Install Servlet for Sun Solaris (0) | 2009.05.04 |
|---|---|
| 중복파일제거 (0) | 2009.04.20 |
| EnCase 6.13 Windows Initialize Case 문제 (0) | 2009.03.27 |
| EnCase V6 (0) | 2009.03.26 |
| EnCase V5 (0) | 2009.03.26 |
EnCase 6.13의 Case Processor 중 분석 초기에 자주 사용되는 Windows Initialize Case 를 사용시 결과가 제대로 나오지 않는 오류가 있었습니다. -> 클릭
북마크에 빈 폴더만 생성이 되고 Console 화면에서는 "Case Processor took 0 minutes 0 seconds." 라는 메시지가 보입니다.
상세한 오류 내용은 다음과 같습니다.
현재 GSI에서 오류를 수정한 Script를 배포하고 있습니다. --> 클릭
편의를 위하여 이곳에도 올려놓겠습니다.
포함된 파일의 Hash 값은 다음과 같습니다.
파일 교체 이후에는 이전버전과 마찬가지로 정상 동작합니다.
평소와 달리(?) 20일만에 패치를 적용해준 GSI의 민첩성(-_-)에 감사드립니다.
북마크에 빈 폴더만 생성이 되고 Console 화면에서는 "Case Processor took 0 minutes 0 seconds." 라는 메시지가 보입니다.
상세한 오류 내용은 다음과 같습니다.
현재 GSI에서 오류를 수정한 Script를 배포하고 있습니다. --> 클릭
편의를 위하여 이곳에도 올려놓겠습니다.
6.13InitializeCase.zip포함된 파일의 Hash 값은 다음과 같습니다.
파일 교체 이후에는 이전버전과 마찬가지로 정상 동작합니다.
평소와 달리(?) 20일만에 패치를 적용해준 GSI의 민첩성(-_-)에 감사드립니다.
'Technology > S/W' 카테고리의 다른 글
| 중복파일제거 (0) | 2009.04.20 |
|---|---|
| FTK Imager 2.5.5 (0) | 2009.04.02 |
| EnCase V6 (0) | 2009.03.26 |
| EnCase V5 (0) | 2009.03.26 |
| EnCase V4 (0) | 2009.03.26 |
EnCase 6.13.0.43 실행화면
Oracle Outside In Technology 도입, Native viewing 및 Indexing 지원
SHA-1 Hashing 지원
Full Memory / Process Memory imaging 지원
'Technology > S/W' 카테고리의 다른 글
| FTK Imager 2.5.5 (0) | 2009.04.02 |
|---|---|
| EnCase 6.13 Windows Initialize Case 문제 (0) | 2009.03.27 |
| EnCase V5 (0) | 2009.03.26 |
| EnCase V4 (0) | 2009.03.26 |
| EnCase V3 (0) | 2009.03.26 |
EnCase 5.05K 실행화면
XP Style 메뉴 도입
4분할 Pane 도입
Condition 기능 도입
Pro Suite, FastBloc SE 등 Plugin 도입
복사방지를 위해 Alladin HASP HL 도입
'Technology > S/W' 카테고리의 다른 글
| EnCase 6.13 Windows Initialize Case 문제 (0) | 2009.03.27 |
|---|---|
| EnCase V6 (0) | 2009.03.26 |
| EnCase V4 (0) | 2009.03.26 |
| EnCase V3 (0) | 2009.03.26 |
| EnCase V1 (0) | 2009.03.26 |
EnCase 4.22a 실행화면
Crack 버전이 유통중인 마지막 버전. 정식버전 Dongle이 있을경우 실행가능
Filter, Query 개념 도입
Script 명이 EnScript 로 변경됨
Enterprise Edition 출시
Forensic 수사 자체의 기능으로는 거의 완성 단계
EnCase 3.22g 실행화면
pane 개념이 생김
Interface적인 측면에서 v6 까지의 기본 틀이 됨
EScript(EnScript) 개념 도입
'Technology > S/W' 카테고리의 다른 글
| EnCase V5 (0) | 2009.03.26 |
|---|---|
| EnCase V4 (0) | 2009.03.26 |
| EnCase V1 (0) | 2009.03.26 |
| FTK 2 (0) | 2009.03.02 |
| EnCase 6.12 출시 (0) | 2008.11.19 |
EnCase 1.99M 실행화면
'Technology > S/W' 카테고리의 다른 글
| EnCase V4 (0) | 2009.03.26 |
|---|---|
| EnCase V3 (0) | 2009.03.26 |
| FTK 2 (0) | 2009.03.02 |
| EnCase 6.12 출시 (0) | 2008.11.19 |
| End of ILook (0) | 2008.05.14 |
http://whereismydata.wordpress.com/2009/03/01/forensics-ftk-2/
EnCase 와 더불어 이쪽 바닥의 양대 산맥이라고 하는 FTK.
가볍고 다양한 기능의 버전 1에 비해서 Oracle까지 포함한 버전 2 출시와 관련해서 악명이 매우 높습니다.
버그없는 프로그램은 존재할 수 없겠지만 이건 좀 심하다 싶군요.
물론 그렇다고 EnCase라고 더 낫다고는 할 수 없는 안타까움이... =ㅅ=;;
EnCase 와 더불어 이쪽 바닥의 양대 산맥이라고 하는 FTK.
가볍고 다양한 기능의 버전 1에 비해서 Oracle까지 포함한 버전 2 출시와 관련해서 악명이 매우 높습니다.
버그없는 프로그램은 존재할 수 없겠지만 이건 좀 심하다 싶군요.
물론 그렇다고 EnCase라고 더 낫다고는 할 수 없는 안타까움이... =ㅅ=;;
'Technology > S/W' 카테고리의 다른 글
| EnCase V4 (0) | 2009.03.26 |
|---|---|
| EnCase V3 (0) | 2009.03.26 |
| EnCase V1 (0) | 2009.03.26 |
| EnCase 6.12 출시 (0) | 2008.11.19 |
| End of ILook (0) | 2008.05.14 |
EnCase의 새로운 Release가 출시되었습니다.
가장 큰 변화로는 기존 MD5 이외에 SHA1이 증거파일의 무결성 검증에 사용된다는 점입니다.
드디어 SHA1 지원
그리고 부분적이기는 하지만 HWP 파일에 대한 미리보기를 잘 지원하게 되었습니다. 여전히 HWP 2007 버전은 인식하지 못합니다 이 부분은 Outside In이 담당하는 부분이라 어쩔 수 없는 점도 있네요.
HWP2007 지원은 언제쯤?
또한, Snapshot을 통한 Memory Analysis에서 ARP 와 Routing Table 을 볼 수 있게 되었습니다.
또 한가지 편한점은 About 메뉴에서 현재 연결된 Dongle의 Flag를 확인할 수 있게 된 점입니다.
그 밖에 여러가지 기능이 추가되었습니다만, 또 여러가지 버그들도 추가되었겠죠. -_-;;
EnCase 7은 어떤 모습을 보이게 될지 기대해 봅니다.
가장 큰 변화로는 기존 MD5 이외에 SHA1이 증거파일의 무결성 검증에 사용된다는 점입니다.
01
그리고 부분적이기는 하지만 HWP 파일에 대한 미리보기를 잘 지원하게 되었습니다. 여전히 HWP 2007 버전은 인식하지 못합니다 이 부분은 Outside In이 담당하는 부분이라 어쩔 수 없는 점도 있네요.
01
또한, Snapshot을 통한 Memory Analysis에서 ARP 와 Routing Table 을 볼 수 있게 되었습니다.
01
또 한가지 편한점은 About 메뉴에서 현재 연결된 Dongle의 Flag를 확인할 수 있게 된 점입니다.
01
그 밖에 여러가지 기능이 추가되었습니다만, 또 여러가지 버그들도 추가되었겠죠. -_-;;
EnCase 7은 어떤 모습을 보이게 될지 기대해 봅니다.
'Technology > S/W' 카테고리의 다른 글
| EnCase V4 (0) | 2009.03.26 |
|---|---|
| EnCase V3 (0) | 2009.03.26 |
| EnCase V1 (0) | 2009.03.26 |
| FTK 2 (0) | 2009.03.02 |
| End of ILook (0) | 2008.05.14 |
