EnCase 실무 활용 가이드
- EnCase 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
해시 분석 [ by 김종광 ]
해시 분석
해시 분석을 위해 파일의 해시값을 계산합니다. EnCase의 2가지 해시 계산 방법 중 Process Evidence 활용 방법입니다.
Process Evidence의 경우 Evidence File 전체의 해시를 계산합니다.
![](/forensicArtifact/img/encase-forensics/sub04/001.png)
해시 분석
Process Evidence의 경우 전체 해시값을 구하기 때문에 오랜 시간이 소요됩니다.
이러한 단점을 해결하기 위해 사용자가 필요한 경로의 파일 또는 특정 파티션만 선택적으로 해시 계산이 가능합니다.
![](/forensicArtifact/img/encase-forensics/sub04/002.png)
해시 분석
해시 알고리즘을 선택후 [ok]버튼을 클릭하여 작업을 진행합니다.
선택적으로 해시를 계산함으로 Process Evidence 보다 빨리 결과를 확인할 수 있습니다.
![](/forensicArtifact/img/encase-forensics/sub04/003.png)
해시 매칭
다음은 특정 파일이 분석 대상 PC에 존재하는지 확인하기 위해 원본 파일의 해시값을 매칭시키는 프로세스입니다.
![](/forensicArtifact/img/encase-forensics/sub04/004.png)
해시 매칭
Condition을 활용하여 해시값을 매칭합니다. [ Condition ] 생성 방법은 [ 07. Condition 활용 ]을 참고 바랍니다.
![](/forensicArtifact/img/encase-forensics/sub04/005.png)
해시 매칭
Disk 전체 데이터 중 동일한 해시값이 있는 파일을 필터링한 결과 화면입니다.
![](/forensicArtifact/img/encase-forensics/sub04/006.png)