제품 Pouch, 간략 설명서(Brief Manual), 부팅 CD (Booting Disc), 설치 DVD (Installation Disc), USB 동글 (HASP Key), EnCase Portable Program USB (4GB), EnCase Portable Evidence Storage USB (16GB), 4 port USB 2.0 Hub
입니다.
USB 는 우레탄 처리가 되어 어느정도의 충격에도 견딜 것 같은 느낌을 줍니다.
EnCase Portable 은 조사 방법이 두가지 입니다.
1. 활성 시스템으로부터의 증거 수집 ; 메모리 덤프를 뜨거나, FDE 등이 적용된 디스크를 조사할 때 사용됩니다.
2. 비활성 시스템으로부터의 증거 수집 ; 포렌식적으로 "안전"한 증거를 수집할 수 있습니다.
BIOS에서 USB 부팅을 지원하지 않는다면 CD를 이용해서 부팅할 수 있습니다. 이 경우에도 Program USB는 필요합니다.
따라서, 조사 대상은 최소 2개 이상의 USB 포트를 가지고 있어야 합니다.
부팅은 Windows PE 환경에서 작업이 이루어집니다.
활성 시스템에 Program USB를 연결하면 HASP Key 를 찾습니다. 프로그램이 종료되면 드라이버는 제거된다고 합니다.
EnCase Portable이 실행되면 아래와 같은 창이 뜨면서 언제나 처럼 Case 이름과 조사관 이름을 입력한 후 수집 작업을 선택할 수 있습니다.
01
할 수 있는 작업은 화면에서 보는 것 처럼
1. 문서파일 수집
2. 인터넷 사용 흔적 수집
3. e-mail 자료 수집
4. 그림 파일 수집
5. 드라이브나 메모리 이미지 생성
6. 개인식별정보(PII) 보고서 생성
입니다. 아직 다른 커스터마이징은 안되는 것으로 보입니다. 참 쉽죠~잉?
1~6번중 필요한 단계를 반복해서 수행한 후 Exit 를 선택하면 프로그램은 종료됩니다.
이후 EnCase 6.14.1에서 제공하는 Source Processor를 이용해서 수집된 증거에 대한 분석을 합니다.
윗줄 왼쪽부터
