새 페이지 1
[제품 구성]
EnCase® Smartphone Examiner
스마트폰 및 태블릿 장치의 디지털 증거자료 리뷰 및 수집
EnCase® Virtual File System (VFS) Module
Encase Forensic 환경 밖에서 디지털증거(케이스, 장치, 볼륨,폴더등)를 읽기 전용으로 마운트하고 리뷰함
EnCase® Physical Disk Emulator (PDE) Module
read only 모드에서 복제된 하드드라이브나 CD의 이미지를 마운트 시켜 제3자의 툴을 사용하여 추가적인 조사가능
EnCase® Decryption Suite
암호화된 디스크, 볼륨, 파일 및 폴더 등의 암호해독
FastBloc® Software Edition (SE)
타겟 하드드라이브의 모든 섹터를 안전하고 빠르게채증
[특징 및 기능]
증거 채증 (이미징)
- 포렌식적으로 무결성을 증명할 수 있는 방법으로 증거물을 채증 할 수 있음.
- EnCase v7 부터 모든 이미징된 증거물들은 RAM이 아니라 디스크에 EnCase 증거파일 형식(E01, L01, Ex01, Lx01)으로
저장되기
때문에 조사관의 컴퓨터 용량을 거의 차지하지 않게 되었음.
- 새로운 증거파일 (Ex01, Lx01)을 직접 EnCase 안에서 암호화 할 수 있기 때문에 증거파일 형식의 보안성이 더욱 향상되었음.
별도의 프로세서 동글을 추가로 사용할 수 있어 프로세싱 속도 극대화 가능.
채증 가능 영역
- 디스크, RAM, 문서, 이미지, 이메일, 웹메일, 인터넷 아티팩트, 웹 히스토리, 캐시, HTML, 페이지 재복원, 채팅 세션, 압축파일,
백업파일, 암호화 파일, RAID, 워크스테이션, 서버.
- EnCase V7부터 스마트폰, 태블릿 채증 가능.
** 지원되는 OS형식 **
[Apple’s iOS] / [Google’s Android OS] / [Rim’s Blackberry OS] / [Nokia Symbian]
/ [Microsoft’s Windows Mobile OS] / [Google Nexus 7] / [Acer Iconia Tab A500] /
[Samsung Galaxy Tab 2] / [Kiindle fire HD]
포렌식적 채증
- 원본 드라이브나 매체의 정확한 바이너리 복사본을 생성하여 관련 이미지 파일의 MD5 해시값을 생성하고 그 데이터에 CRC 값을
할당하여 확인함.
- 증거가 변조되었을 경우 이런 검사와 값이 다르며 모든 디지털 증거가 법정이나 내부 조사에 사용가능하도록 포렌식적으로 채증이
가능
- 케이스의 증거용량이 날이 갈수록 증가함에 따라, 조사관들은 대용량의 증거를 좀더 빠르게 조사해야할 필요가 늘어나가 있음.
- EnCase의 Evidence Processor를 통해 빠르고 신뢰할 수 있는 프로세싱이 가능함.
- EnCase e-Discovery에서 사용되는 강력한 프로세싱/인덱싱 엔진 사용으로 성능 최적화.
- Enscripts 기능을 프로세싱을 할 때 추가함으로써 Enscripts 작업시간 절약.
- 조사관이 항상 수행하는 여러 작업들을 자동화함.
** EnCase Evidence Processor로 프로세싱 동안 가능한 작업 **
[폴더 복구] / [파일 시그너처 분석] / [암호걸린 파일 분석] / [해시 분석 (MD5, SHA-1)] / [복합파일 압축풀기] / [이메일
검색 (PST, NSF, DBX, EDB, AOL, MBOX)] / [인터넷 객체 검색 (IE, Firefox, Safari)] / [키워드
검색] / [인덱싱]
** EnCase Enscript Module로 프로세싱 가능한 작업 **
[System Info Parser] / [IM Parser (AOL, MSN, Yahoo)] / File Carver] / [Personal
Information (CC, Phone Numbers, Email, SSN)] / [Windows Event Log Parser] /
[Windows Artifact Parser] / [Unix Login] / [Linux Syslog Parser]
삭제된 데이타 복구
[파일 및 파티션 복구] / [이벤트 로그 파싱으로 삭제 파일 감지] / [파일 시그너처 검색] / [해시분석 (복합파일이나 비할당 디스크
공간도 가능)] 등의 기능으로 복합 파일이나 비할당 디스크 영역에서도 삭제된 파일 감지 가능
라이브 포렌식기능
- EnCase SAFE를 설치하지 않고도 IP네트워크 상에서 라이브 조사 및 채증 가능.
- 네트워크에 연결된 하나의 컴퓨터에 서블릿을 원격으로 설치하여 컴퓨터나 하드디스크를 읽고 채증,모니터할 수 있음.
- 디스크를 따로 분리하지 않고도 실시간 포렌식조사 가능.
EnCase Forensic Imager
- 새롭게 출시된 제품으로 포렌식적으로무결성을 검증할 수 있는 방법으로 EnCase 증거파일을 생성하거나 논리적 증거파일을 생성하
기 위해서만 사용할 수 있음.
- 프로세싱, 분석 등의 기능이 포함되지 않음.
- 별다른 EnCase 교육이 필요없이 쉽게 사용할 수 있으며, 추가 비용이 없이 무료로 다운받아 사용할 수 있음.
심층 포렌식분석 작업
** 고급검색 **
- 전체 케이스에서 사용이 쉽고 강력한 검색 인터페이스.
- 인덱스, 키워드 검색, 태깅 등으로 검색가능.
** 강력한 이메일 조사능력 **
- 실제 이메일과 동일한 인터페이스에서 쉽게 이메일 조사 및 분석
- 모든 관련 대화와 메시지를 보여주고 하나의 이메일과 관련된 모든 메시지의 상관관계를 보여줌.
** 태깅 **
- 조사관이 원하는데로 태깅을 만들어 해시값을 포함하여 파일에 추가한 후 다른 조사관들이 조사할 수 있도록 별도 파일로
내보내기 가능
** EnCase V7에서 추가로 지원되는 파일시스템 및 파일타입 **
- EXT4, HSFX, Microsoft Office 2010
- iOS 물리적 이미지 (iPad, iPhone, iPod)
Passware Kit Forensic제품과의 통합 사용가능
- Evidence Processor를 사용해서 인크립트 파일 감지를 자동화시킴.
- 파일의 암호가 Passware Kit Forensics을 사용하여 해독되면 추가적인 분석을 위해 다시 EnCase Forensics으로
돌아와
분석가능.
생산성 향샹
- 데이터가 채증되는 동안 결과값 미리보기 가능.
- 일단 이미지 파일이 생성되면, 여러 개의 드라이브나 매체를 동시에 검색 및 분석가능
자동화된de-NISTing 기능
- 국가표준 참조 데이터 (National Software Reference Library (NSRL))가 EnCase 해시라이브러리 포맷으로
제공되어 증거
셋에서 수천 개의 알려진 파일을 제거함으로써 분석하는 데 필요한 시간 및 데이터 양을 줄일 수 있음.
다양한 File Viewer 지원
- 원래의 형식, 내장 레지스트리 뷰어, 통합 이미지 뷰어로 수백 개의 파일 포맷 보기 및 타임라인/캘린더로 결과보기 가능.
자동화된 보고서 생성가능
- URL, 방문일자 및 시간 등에 대한 자세한 리스트와 함께 모든 파일 및 폴더 리스트를 포함하는 리포트 추출 가능.
- 하드 드라이브 정보, 채증관련 정보, 드라이브 구조, 폴더 구조 등에 대한 자세한 정보 제공.
유용한 데이터(Actionable Data)
- 법정 제출용, 또는 조사 결과를 원하는 관련 당사자들에게 제공할 수 있는 통합적인 리포트를 생성할 수 있음.
