Encase 는 Guidence 사에서 만든 컴퓨터 포렌식스 툴이다. 현재 세계 점유율이 1위이며, 사실상의 표준이기도 하다.(미국 FBI의 지원으로 인해서, 회사가 커졌으며, 현재 미국법원에서 Encase 로 제출하는 자료에 대해서 증거로 인정되면서, 그 세력이 더 커졌다고 볼 수 있다.)
하지만, 실제로 Encase 가 언제나 최고의 툴은 아니다. FTK(Forensic Tookit , accessData) 의 경우, 일본에서는 Encase 보다 많이 사용되고 있다. 그러나 세계적으로 본다면, 미국 법률시장이 가장 크므로, Encase 는 가장 보편화된 툴이라고 할 수 있다. 그리고 현재는 하나의 툴이 아니라, 두 개 이상의 툴로, 결과를 검증 할 수 있어야 하기 때문에, Encase 든 FTK 든 제대로 배워두어야 제대로 된 수사를 할 수 있다.
1) Encase 제품군
· Encase Forensic : 로컬 컴퓨터 하드디스크의 기본 분석 도구
· Field Intelliegence Model(FIM) : 네트워크 컴퓨터 및 서버의 휘발성 자료를 포함한 증거파일 획득 및 조사가 가능, 수사 기관용으로 Enterprise 축소판
· Encase Enterprise : 기업의 Live 시스템 및 파일에의 접근과 분석이 가능하여 사고대응 시간을 줄일 수 있음. 관제로 활용
2) Encase 지원 파일 시스템
· FAT12, FAT16, FAT32
· NTFS
· EXT2, EXT3
· CDFS
· HFS, HFS+ (MAC 파일 시스템)
· PALM (Palm-PAD 파일 시스템)
· UFS (Unix 파일 시스템)
'Digital Forensics > EnCase' 카테고리의 다른 글
| Encase Series - 6 파티션 복구 (1) 볼륨 분석 (0) | 2010.03.26 |
|---|---|
| Encase Series - 4 기존 Case 파일 분석 (0) | 2010.03.24 |
| Encase Series - 3 Add Device (0) | 2010.03.23 |
| Encase Series - 2 Case 관리 (0) | 2010.03.23 |
| Encase Series - 1 설치 (0) | 2010.03.22 |
