G



제품명

EnCase® Forensic V8

용도 디지털 증거 수집 및 분석(종합 분석 솔루션)
제조사 GUIDNCE SOFTWARE INC.
제품
브로셔
PDF
  • encase forensic.jpg

    EnCase® Forensic 제품은 전세계적으로 가장 많이 사용되는 업계 표준의 대표적인 컴퓨터 포렌식 조사 및 분석 소프트웨어 입니다.포렌식적으로 무결성을 검증 할 수 있는 방식으로 데이터를 수집하고 분석 업무를 수행해야 하는 포렌식 전문가들을 위한 툴로 전세계 법정에서 증거물로 인정받고 있습니다. 1997년 설립이래로 개발사인 Guidance사의 오랜 기술력을 바탕으로 꾸준히 신버전이 출시되고 있으며 2011년에 EnCase V7 이 출시되면서 인터페이스가 사용에 용이 하도록 바뀌었으며 여러가지 모듈이 추가 비용없이 포함되어 기능성이 크게 향상 되었습니다. 또한, 본 EnCase Forensic 제품을 기반으로 하는 EnCase Computer Forensic I, Computer Forensics II 과정은 EnCase의 여러 과정 중에서 전세계적으로 가장 인기있는 디지털포렌식 교육과정들로 평가받고 있습니다.
  • EnCase® Smartphone Examiner
      스마트폰 및 태블릿 장치의 디지털 증거자료 리뷰 및 수집

    EnCase® Virtual File System (VFS) Module
      Encase Forensic 환경 밖에서 디지털증거(케이스, 장치, 볼륨,폴더등)를 읽기 전용으로 마운트하고 리뷰함

    EnCase® Physical Disk Emulator (PDE) Module
      Read Only 모드에서 복제된 하드드라이브나 CD의 이미지를 마운트 시켜 제3자의 툴을 사용하여 추가적인 조사가능

    EnCase® Decryption Suite
      암호화된 디스크, 볼륨, 파일 및 폴더 등의 암호해독

    FastBloc® Software Edition (SE)
      타겟 하드드라이브의 모든 섹터를 안전하고 빠르게채증
  • 증거 채증 (이미징)
    - 포렌식적으로 무결성을 증명할 수 있는 방법으로 증거물을 채증 할 수 있음.
    - EnCase FE 부터 모든 이미징된 증거물들은 RAM이 아니라 디스크에 EnCase 증거파일 형식(E01, L01, Ex01, Lx01)으로 저장되기
       때문에 조사관의 컴퓨터 용량을 거의 차지하지 않게 되었음.
    - 새로운 증거파일 (Ex01, Lx01)을 직접 EnCase 안에서 암호화 할 수 있기 때문에 증거파일 형식의 보안성이 더욱 향상되었음.
       별도의 프로세서 동글을 추가로 사용할 수 있어 프로세싱 속도 극대화 가능.
     
    채증 가능 영역
    - 디스크, RAM, 문서, 이미지, 이메일, 웹메일, 인터넷 아티팩트, 웹 히스토리, 캐시, HTML, 페이지 재복원, 채팅 세션, 압축파일,
       백업파일, 암호화 파일, RAID, 워크스테이션, 서버.
    - EnCase V7부터 스마트폰, 태블릿 채증 가능.
     
    ** 지원되는 OS형식 **
    [Apple’s iOS] / [Google’s Android OS] / [Rim’s Blackberry OS] / [Nokia Symbian] / [Microsoft’s Windows Mobile OS] / [Google Nexus 7] / [Acer Iconia Tab A500] / [Samsung Galaxy Tab 2] / [Kiindle fire HD]
     
    다양한 종류의 인터넷 접속 증거복구 가능
    - 소셜 네트워크 결과물 : Twitter, Facebook, 마이스페이스,구글+
    - 클라우드 사용흔적: Google Drive, SkyDrive, Dropbox, Flickr, Google
    - 인스턴트 메시징: 스카이프, 구글토크, 윈도우 라이브 메신져, ICQ, 야후 메신져
    - 웹 브라우져 히스토리: 인터넷 익스플로어, 크롬, 사파리, 파이어폭스, 오페라 등
    - 웹 메일 분석: 지메일, 핫메일, 등
    - P2P 파일 공유 응용프로그램: Torrent, Ares, eMule, Shareaza, Limewire, Gigatribe
    - E01/.Ex01/L01/Lx01/dd 등 이미지 파일 지원, 비할당 영역 및 삭제된 데이터 복구 및 검색 가능
    - OS Artifacts 분류 및 분석
    - 문서 분류 및 메타데이터 분류
     
    포렌식적 채증
    - 원본 드라이브나 매체의 정확한 바이너리 복사본을 생성하여 관련 이미지 파일의 MD5 해시값을 생성하고 그 데이터에 CRC 값을
       할당하여 확인함.
    - 증거가 변조되었을 경우 이런 검사와 값이 다르며 모든 디지털 증거가 법정이나 내부 조사에 사용가능하도록 포렌식적으로 채증이
       가능
    - 케이스의 증거용량이 날이 갈수록 증가함에 따라, 조사관들은 대용량의 증거를 좀더 빠르게 조사해야할 필요가 늘어나가 있음.
    - EnCase의 Evidence Processor를 통해 빠르고 신뢰할 수 있는 프로세싱이 가능함.
    - EnCase e-Discovery에서 사용되는 강력한 프로세싱/인덱싱 엔진 사용으로 성능 최적화.
    - Enscripts 기능을 프로세싱을 할 때 추가함으로써 Enscripts 작업시간 절약.
    - 조사관이 항상 수행하는 여러 작업들을 자동화함.
      
    ** EnCase Evidence Processor로 프로세싱 동안 가능한 작업 **
    [폴더 복구] / [파일 시그너처 분석] / [암호걸린 파일 분석] / [해시 분석 (MD5, SHA-1)] / [복합파일 압축풀기] / [이메일 검색 (PST, NSF, DBX, EDB, AOL, MBOX)] / [인터넷 객체 검색 (IE, Firefox, Safari)] / [키워드 검색] / [인덱싱]
     
    ** EnCase Enscript Module로 프로세싱 가능한 작업 **
    [System Info Parser] / [IM Parser (AOL, MSN, Yahoo)] / File Carver] / [Personal Information (CC, Phone Numbers, Email, SSN)] / [Windows Event Log Parser] / [Windows Artifact Parser] / [Unix Login] / [Linux Syslog Parser]
     
    삭제된 데이타 복구
    [파일 및 파티션 복구] / [이벤트 로그 파싱으로 삭제 파일 감지] / [파일 시그너처 검색] / [해시분석 (복합파일이나 비할당 디스크 공간도 가능)] 등의 기능으로 복합 파일이나 비할당 디스크 영역에서도 삭제된 파일 감지 가능
     
    라이브 포렌식기능
    - EnCase SAFE를 설치하지 않고도 IP네트워크 상에서 라이브 조사 및 채증 가능.
    - 네트워크에 연결된 하나의 컴퓨터에 서블릿을 원격으로 설치하여 컴퓨터나 하드디스크를 읽고 채증,모니터할 수 있음.
    - 디스크를 따로 분리하지 않고도 실시간 포렌식조사 가능.
     
    EnCase Forensic Imager
    - 새롭게 출시된 제품으로 포렌식적으로무결성을 검증할 수 있는 방법으로 EnCase 증거파일을 생성하거나 논리적 증거파일을 생성하
       기 위해서만 사용할 수 있음.
    - 프로세싱, 분석 등의 기능이 포함되지 않음.
    - 별다른 EnCase 교육이 필요없이 쉽게 사용할 수 있으며, 추가 비용이 없이 무료로 다운받아 사용할 수 있음.
     
    심층 포렌식분석 작업
    ** 고급검색 **
    - 전체 케이스에서 사용이 쉽고 강력한 검색 인터페이스.
    - 인덱스, 키워드 검색, 태깅 등으로 검색가능.
     
    ** 강력한 이메일 조사능력 **
    - 실제 이메일과 동일한 인터페이스에서 쉽게 이메일 조사 및 분석
    - 모든 관련 대화와 메시지를 보여주고 하나의 이메일과 관련된 모든 메시지의 상관관계를 보여줌.
     
    ** 태깅 **
    - 조사관이 원하는데로 태깅을 만들어 해시값을 포함하여 파일에 추가한 후 다른 조사관들이 조사할 수 있도록 별도 파일로
       내보내기 가능
     
    ** EnCase V7 이상에서 추가로 지원되는 파일시스템 및 파일타입 **
    - EXT4, HSFX, Microsoft Office 2010
    - iOS 물리적 이미지 (iPad, iPhone, iPod)
     
    Passware Kit Forensic제품과의 통합 사용가능
    - Evidence Processor를 사용해서 인크립트 파일 감지를 자동화시킴.
    - 파일의 암호가 Passware Kit Forensics을 사용하여 해독되면 추가적인 분석을 위해 다시 EnCase Forensics으로 돌아와
       분석가능.
     
    생산성 향샹
    - 데이터가 채증되는 동안 결과값 미리보기 가능.
    - 일단 이미지 파일이 생성되면, 여러 개의 드라이브나 매체를 동시에 검색 및 분석가능
     
    자동화된de-NISTing 기능
    - 국가표준 참조 데이터 (National Software Reference Library (NSRL))가 EnCase 해시라이브러리 포맷으로 제공되어 증거
       셋에서 수천 개의 알려진 파일을 제거함으로써 분석하는 데 필요한 시간 및 데이터 양을 줄일 수 있음.
     
    다양한 File Viewer 지원
    - 원래의 형식, 내장 레지스트리 뷰어, 통합 이미지 뷰어로 수백 개의 파일 포맷 보기 및 타임라인/캘린더로 결과보기 가능.
     
    자동화된 보고서 생성가능
    - URL, 방문일자 및 시간 등에 대한 자세한 리스트와 함께 모든 파일 및 폴더 리스트를 포함하는 리포트 추출 가능.
    - 하드 드라이브 정보, 채증관련 정보, 드라이브 구조, 폴더 구조 등에 대한 자세한 정보 제공.
     
    유용한 데이터(Actionable Data)
    - 법정 제출용, 또는 조사 결과를 원하는 관련 당사자들에게 제공할 수 있는 통합적인 리포트를 생성할 수 있음.