G



제품명

▶ EnCase Forensic

용도 디지털 증거수집 및 분석(종합 분석 솔루션)
제조사 OpenText (Guidance Software, Inc)
제품
브로셔
PDF
  • encase forensic.jpg


    EnCase® Forensic 제품은 전세계적으로 가장 많이 사용되는 업계 표준의 대표적인 컴퓨터 포렌식 조사 및 분석 소프트웨어 입니다.포렌식적으로 무결성을 검증 할 수 있는 방식으로 데이터를 수집하고 분석 업무를 수행해야 하는 포렌식 전문가들을 위한 툴로 전세계 법정에서 증거물로 인정받고 있습니다.

    1997년 설립이래로 개발사인 Guidance사의 오랜 기술력을 바탕으로 꾸준히 신버전이 출시되고 있으며 EnCase V7 이후 최근 V8.xx 버전이 출시되면서 인터페이스 사용이 직관적으로 바뀌었으며 여러가지 모듈이 추가 비용 없이 포함되어 기능성이 크게 향상 되었습니다.

    또한, 최신 버전의 EnCase Forensic 제품을 기반으로 하는 EnCase Computer Forensic I, Computer Forensics II 정규 교육 과정은 EnCase의 여러 과정 중에서 전세계적으로 가장 인기있는 디지털포렌식 교육과정 들로 평가받고 있습니다.

    정규 교육과정 EnCase Forensic DF-120 (compurt forensic 1), DF-210 (compurt forensic 2), DF-310 (Advanced) 은 당사가 국내 유일의 인증 교육 기관으로 미국본사로 부터 검증되고 인증된 강사에 의하여 매월 해당하는 교육이 진행되고 있습니다.

    [전문 교육과정 바로가기]
    http://www.jetco.co.kr/sub/encase_edu.php?currentId=13

  • EnCase® Smartphone Examiner
      스마트폰 및 태블릿 장치의 디지털 증거자료 리뷰 및 수집 (옵션)


    <[엔케이스모바일 바로가기]
    http://www.jetco.co.kr/bbs/board.php?bo_table=Guidance&wr_id=12¤tId=26

    EnCase® Virtual File System (VFS) Module
      Encase Forensic 환경 밖에서 디지털증거(케이스, 장치, 볼륨,폴더등)를 읽기 전용으로 마운트하고 리뷰함

    EnCase® Physical Disk Emulator (PDE) Module
      Read Only 모드에서 복제된 하드드라이브나 CD의 이미지를 마운트 시켜 제3자의 툴을 사용하여 추가적인 조사가능

    EnCase® Decryption Suite
      암호화된 디스크, 볼륨, 파일 및 폴더 등의 암호해독

    FastBloc® Software Edition (SE)
      타겟 하드드라이브의 모든 섹터를 안전하고 빠르게채증
  • 증거 채증 (이미징)
    - 포렌식적으로 무결성을 증명할 수 있는 방법으로 증거물을 채증 할 수 있음.
    - EnCase FE 부터 모든 이미징된 증거물들은 RAM이 아니라 디스크에 EnCase 증거파일 형식(E01, L01, Ex01, Lx01)으로 저장되기
       때문에 조사관의 컴퓨터 용량을 거의 차지하지 않게 되었음.
    - 새로운 증거파일 (Ex01, Lx01)을 직접 EnCase 안에서 암호화 할 수 있기 때문에 증거파일 형식의 보안성이 더욱 향상되었음.
       별도의 프로세서 동글을 추가로 사용할 수 있어 프로세싱 속도 극대화 가능.
     
    채증 가능 영역
    - 디스크, RAM, 문서, 이미지, 이메일, 웹메일, 인터넷 아티팩트, 웹 히스토리, 캐시, HTML, 페이지 재복원, 채팅 세션, 압축파일,
       백업파일, 암호화 파일, RAID, 워크스테이션, 서버.
    - EnCase V7부터 스마트폰, 태블릿 채증 가능.
     
    ** 지원되는 OS형식 **
    [Apple’s iOS] / [Google’s Android OS] / [Rim’s Blackberry OS] / [Nokia Symbian] / [Microsoft’s Windows Mobile OS] / [Google Nexus 7] / [Acer Iconia Tab A500] / [Samsung Galaxy Tab 2] / [Kiindle fire HD]
     
    다양한 종류의 인터넷 접속 증거복구 가능
    - 소셜 네트워크 결과물 : Twitter, Facebook, 마이스페이스,구글+
    - 클라우드 사용흔적: Google Drive, SkyDrive, Dropbox, Flickr, Google
    - 인스턴트 메시징: 스카이프, 구글토크, 윈도우 라이브 메신져, ICQ, 야후 메신져
    - 웹 브라우져 히스토리: 인터넷 익스플로어, 크롬, 사파리, 파이어폭스, 오페라 등
    - 웹 메일 분석: 지메일, 핫메일, 등
    - P2P 파일 공유 응용프로그램: Torrent, Ares, eMule, Shareaza, Limewire, Gigatribe
    - E01/.Ex01/L01/Lx01/dd 등 이미지 파일 지원, 비할당 영역 및 삭제된 데이터 복구 및 검색 가능
    - OS Artifacts 분류 및 분석
    - 문서 분류 및 메타데이터 분류
     
    포렌식적 채증
    - 원본 드라이브나 매체의 정확한 바이너리 복사본을 생성하여 관련 이미지 파일의 MD5 해시값을 생성하고 그 데이터에 CRC 값을
       할당하여 확인함.
    - 증거가 변조되었을 경우 이런 검사와 값이 다르며 모든 디지털 증거가 법정이나 내부 조사에 사용가능하도록 포렌식적으로 채증이
       가능
    - 케이스의 증거용량이 날이 갈수록 증가함에 따라, 조사관들은 대용량의 증거를 좀더 빠르게 조사해야할 필요가 늘어나가 있음.
    - EnCase의 Evidence Processor를 통해 빠르고 신뢰할 수 있는 프로세싱이 가능함.
    - EnCase e-Discovery에서 사용되는 강력한 프로세싱/인덱싱 엔진 사용으로 성능 최적화.
    - Enscripts 기능을 프로세싱을 할 때 추가함으로써 Enscripts 작업시간 절약.
    - 조사관이 항상 수행하는 여러 작업들을 자동화함.
      
    ** EnCase Evidence Processor로 프로세싱 동안 가능한 작업 **
    [폴더 복구] / [파일 시그너처 분석] / [암호걸린 파일 분석] / [해시 분석 (MD5, SHA-1)] / [복합파일 압축풀기] / [이메일 검색 (PST, NSF, DBX, EDB, AOL, MBOX)] / [인터넷 객체 검색 (IE, Firefox, Safari)] / [키워드 검색] / [인덱싱]
     
    ** EnCase Enscript Module로 프로세싱 가능한 작업 **
    [System Info Parser] / [IM Parser (AOL, MSN, Yahoo)] / File Carver] / [Personal Information (CC, Phone Numbers, Email, SSN)] / [Windows Event Log Parser] / [Windows Artifact Parser] / [Unix Login] / [Linux Syslog Parser]
     
    삭제된 데이타 복구
    [파일 및 파티션 복구] / [이벤트 로그 파싱으로 삭제 파일 감지] / [파일 시그너처 검색] / [해시분석 (복합파일이나 비할당 디스크 공간도 가능)] 등의 기능으로 복합 파일이나 비할당 디스크 영역에서도 삭제된 파일 감지 가능
     
    라이브 포렌식기능
    - EnCase SAFE를 설치하지 않고도 IP네트워크 상에서 라이브 조사 및 채증 가능.
    - 네트워크에 연결된 하나의 컴퓨터에 서블릿을 원격으로 설치하여 컴퓨터나 하드디스크를 읽고 채증,모니터할 수 있음.
    - 디스크를 따로 분리하지 않고도 실시간 포렌식조사 가능.
     
    EnCase Forensic Imager
    - 새롭게 출시된 제품으로 포렌식적으로무결성을 검증할 수 있는 방법으로 EnCase 증거파일을 생성하거나 논리적 증거파일을 생성하
       기 위해서만 사용할 수 있음.
    - 프로세싱, 분석 등의 기능이 포함되지 않음.
    - 별다른 EnCase 교육이 필요없이 쉽게 사용할 수 있으며, 추가 비용이 없이 무료로 다운받아 사용할 수 있음.
     
    심층 포렌식분석 작업
    ** 고급검색 **
    - 전체 케이스에서 사용이 쉽고 강력한 검색 인터페이스.
    - 인덱스, 키워드 검색, 태깅 등으로 검색가능.
     
    ** 강력한 이메일 조사능력 **
    - 실제 이메일과 동일한 인터페이스에서 쉽게 이메일 조사 및 분석
    - 모든 관련 대화와 메시지를 보여주고 하나의 이메일과 관련된 모든 메시지의 상관관계를 보여줌.
     
    ** 태깅 **
    - 조사관이 원하는데로 태깅을 만들어 해시값을 포함하여 파일에 추가한 후 다른 조사관들이 조사할 수 있도록 별도 파일로
       내보내기 가능
     
    ** EnCase V7 이상에서 추가로 지원되는 파일시스템 및 파일타입 **
    - EXT4, HSFX, Microsoft Office 2010
    - iOS 물리적 이미지 (iPad, iPhone, iPod)
     
    Passware Kit Forensic제품과의 통합 사용가능
    - Evidence Processor를 사용해서 인크립트 파일 감지를 자동화시킴.
    - 파일의 암호가 Passware Kit Forensics을 사용하여 해독되면 추가적인 분석을 위해 다시 EnCase Forensics으로 돌아와
       분석가능.
     
    생산성 향샹
    - 데이터가 채증되는 동안 결과값 미리보기 가능.
    - 일단 이미지 파일이 생성되면, 여러 개의 드라이브나 매체를 동시에 검색 및 분석가능
     
    자동화된de-NISTing 기능
    - 국가표준 참조 데이터 (National Software Reference Library (NSRL))가 EnCase 해시라이브러리 포맷으로 제공되어 증거
       셋에서 수천 개의 알려진 파일을 제거함으로써 분석하는 데 필요한 시간 및 데이터 양을 줄일 수 있음.
     
    다양한 File Viewer 지원
    - 원래의 형식, 내장 레지스트리 뷰어, 통합 이미지 뷰어로 수백 개의 파일 포맷 보기 및 타임라인/캘린더로 결과보기 가능.
     
    자동화된 보고서 생성가능
    - URL, 방문일자 및 시간 등에 대한 자세한 리스트와 함께 모든 파일 및 폴더 리스트를 포함하는 리포트 추출 가능.
    - 하드 드라이브 정보, 채증관련 정보, 드라이브 구조, 폴더 구조 등에 대한 자세한 정보 제공.
     
    유용한 데이터(Actionable Data)
    - 법정 제출용, 또는 조사 결과를 원하는 관련 당사자들에게 제공할 수 있는 통합적인 리포트를 생성할 수 있음.