무민이의 반반무많이

Internet(인터넷) 기록 확인 본문

Forensic/EnCase

Internet(인터넷) 기록 확인

M00min 2016.11.23 22:52

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


1. Records의 최상단으로 이동하면, Internet이 있는데, 여기에서 검색기록, 쿠키 등을 확인할 수 있다. Internet을 클릭해서 들어간다.


2. History 폴더의 Typed URL을 통해, 주소창에 검색한 사이트(URL Host, URL Name)을 확인할 수 있고, Visited Link를 통해 검색한 정보(URL Host, URL Name)을 확인할 수 있다.


3. 상단 메뉴의 Condition - New Condition...을 클릭한다.


4. 우측 상단의 ...을 클릭해서 저장할 경로와 파일명을 지정한다.


5. 검색기록까지 보려면, URL을 확인해야 한다. URL을 확인하기 위해, 상단의 New를 클릭한다.


6. Properties의 Common Internet Fields 안에 있는 Url Name을 선택하고, Operator(조건 설정하는 부분)에서 Find를 선택 후, 검색할 사이트 도메인(www.google.com)을 입력한다. 우측에서 Prompt for value(우리가 입력한 문구 확인 및 수정 가능)를 체크하고, 확인 버튼을 클릭한다.


7. 앞에서 생성한 조건이 정상적으로 추가되어있는 것을 확인하고, 확인 버튼을 클릭한다.


8. 상단 메뉴의 condition을 클릭하고, 생성한 Condition의 이름을 클릭한다.


9. OK 버튼을 클릭한다.


10. OK 버튼을 클릭한다.


11. www.google.com이 포함된 파일들을 확인할 수 있다.


12. 하단의 Report 탭을 눌러서 Profile Name을 보면, 어느 사람이 접속했는지 확인할 수 있다.


13. tyler.durden이 접속한 기록을 찾고 싶으면, 상단 메뉴의 Condition - Edit...를 클릭한다.


14. 앞서 만든 것을 선택하고, 열기 버튼을 클릭한다.


15. 상단의 New를 클릭한다.


16. Properties의 Common Internet Fields 안에 있는 Profile Name을 선택하고, Operator에서 Find를 선택 후, tyler.durden을 입력하고, Prompt for value에 체크하고, 확인 버튼을 클릭한다.


17. 목록에 2개가 생겼는데, Url Name 앞의 연산자가 if이고, Profile name 앞의 연산자가 or인 것을 확인할 수 있다.


18. 두 가지 조건을 모두 만족하는 결과를 보려면, or를 and로 바꿔야 한다. Main을 마우스 우 클릭 - Change Logic을 클릭한다.


19. Profile Name 앞의 연산자가 and로 바뀐 것을 확인할 수 있다. 확인 버튼을 클릭한다.


20. 기존 Condition 파일에 덮어 쓸 것인지 묻는 창에서, 예(Y) 버튼을 클릭한다.


21. 상단 메뉴의 Condition을 클릭하고, 설정이 저장되어 있는 Condition의 이름을 클릭한다.


22. OK 버튼을 클릭한다.


23. OK 버튼을 클릭한다.


24. tyler.durden이라는 사용자가 www.google.com에 접속한 기록이 존재하는 파일 목록을 확인할 수 있다.

'Forensic > EnCase' 카테고리의 다른 글

Internet(인터넷) 기록 확인  (1) 2016.11.23
Time Zone(타임 존) 확인 및 설정  (0) 2016.11.23
파일 정보 확인(View File Structure)  (0) 2016.11.23
Process Evidence 실행  (0) 2016.11.21
파일 분석  (0) 2016.11.21
FTK 사용법  (0) 2016.11.08
1 Comments
댓글쓰기 폼