EnCase 실무 활용 가이드
- EnCase 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
확장자 변조 [ by 김종광 ]
확장자 변조
Process Evidence를 이용하여 시그니처 분석 진행
![](/forensicArtifact/img/encase-forensics/anti01/001.png)
확장자 변조
분석 완료 후 Filter를 이용하여 시그니처 분석 결과 필터링 진행
![](/forensicArtifact/img/encase-forensics/anti01/002.png)
확장자 변조
시그니처 분석에서 가장 확률이 높은 경우는 [ Renamed Extenstion ]을 주의 깊게 보는 방법이 있음이름 그래도 확장자의 이름을 변경하기 때문
![](/forensicArtifact/img/encase-forensics/anti01/003.png)
확장자 변조
필터링 결과 확인
![](/forensicArtifact/img/encase-forensics/anti01/004.png)
확장자 변조
필터 결과 중에서도 각각의 파일을 주의깊게 확인하면서 변경된 확장자 서칭 진행일반 시스템 파일의 경우에도 확장자가 없는 이유등으로 Renamed Extenstion 결과가 출력됨.
![](/forensicArtifact/img/encase-forensics/anti01/005.png)