Encase Forensic ㈜ 인섹시큐리티
◈ EnCase Forensic 기능 ▣ Encase의 Forensic 기능 원본디스크의 고속 복사 및 사본 작성, 데이터 복구 증거를 최초 발견 상태로 증거 자료 획득 및 자료 탐색 로그의 통합관리/분석 및 사용자 패턴 분석 Bit-Steaming방식의 사본 작성 및 64K 블록마다 CRC체크와 MD5값 생성 전자우편 복구 검색과 분석(키워드, 해쉬, 서명분석, 필터) 인스크립트(Search 자동화) 갤러리 뷰(이미지 파일 미리보기) 패턴 분석 기능(TimeLine View) 암호 복호화 휴지통 인덱스 파일 INFO2 Table 검색 익스플로러 히스토리 / 바로 가기 파일 분석 파티션 파인터(고급 데이터 복구) 라이브 포렌식, 원격 데이터 복구 시스템 중단 없이 사고에 즉시 대응 시스템의 실행중인 네트워크 세션, 열린 파일 및 실행 중인 프로세스 를 포함한 휘발성 데이터 캡처 분석 LAN/WAN 상의 시스템 조사 동시에 여러 시스템 HDD를 조사 및 분석 법정에서 인정하는 방식으로 데이터 수집 및 보존 법 집행 기관 및 법무 대리인과 증거 파일 공유 문서의 수집, 분석 및 보존(eDiscovery) 승인되지 않은 프로세스 및 네트워크 연결에 대한 개별 또는 다중 시스템 감사 제로데이공격에 의한 손상에 대비한 시스템 감사 Windows 기반 커널 Hidden Processor 및 루트킷 확인 및 자동 대응
◈ EnCase Forensic 기능 ▣ Encase Forensic 지원 OS Windows FAT12(Floppy), FAT16, FAT32, NTFS Macintosh HFS, HFS+ Linux EXT 2/3, Reiser BSD FFS(FreeBSD’s Fast File System 2 (FFS2) aka FreeBSD’s UFS2) Novell Netware v5.1 sp8, v6.0 sp5, v6.5 IBM’s Journaling File System (jfs and JFS) and AIX LVM8 TiVo, including TiVo Series One and TiVo Series Two CDFS, Joliet, DVD, UDF and ISO 9660 Palm Sun Solaris UFS and HP-UX (vxfs) (COMING NEXT) These approaches – highly manual in nature – prevent government agencies from preventing wrongdoing and then finding evidence of wrongdoing when it does occur. Investigating only a sample of incidents is unacceptable in today’s global environment.
◈ EnCase Forenisc 의 차별성 ▣ Encase Forensic 의 비교 Depth Of Analysis Encase ’ Products 일반적인 조사 툴 러닝 프로세스 탐지( Detect Running Processes ) O 히든 프로세스 탐지( Detect Hidden Processes ) X 리네임 프로세스 나 드라이버 탐지 ( Detect Renamed Processes or Dirvers) 러닝 서비스 탐지( Detect Running Services ) 악의적으로 삽입된 Dll’s 탐지( Detect Malicious Injected Dlls ) 루트키트 탐지( Detect Rootkits ) 현재 로근온 된 사용자 식별( Identify Current Logged-on User ) 자동실행된 레지스트리 키 열거( Enumerate Autostart Registry Keys) 히든 포트 탐지( Detect Hidden Ports ) 히든 레지스트리 키 나열( Identify Hidden Registry Keys) 상세한 리포팅 제공( Provide Detailed Reporting ) 머신 프로파일링( Machine Profiling )