EnCase 컴퓨터 포렌식

1장 컴퓨터 하드웨어
__컴퓨터 하드웨어 구성 부품
____부팅 절차
__파티션
__파일 시스템
__정리
__시험에 필요한 핵심 사항
__복습문제

2장 파일 시스템
__FAT 기초
____FAT의 물리적인 배치
____EnCase를 사용해 디렉터리 엔트리 보기
____FAT의 기능
__NTFS 기초
__CD 파일 시스템
__exFAT
__정리
__시험에 필요한 핵심 사항
__복습 문제

3장 신속 대응
__계획과 준비
____물리적인 위치
____직원
____컴퓨터 시스템
____사무실에서 출발 전에 가져가야 하는 것
____수색 권한
__현장에서의 증거물 취급
____현장 확보
____현장 기록과 사진 촬영
____컴퓨터 증거 압수
____증거물 포장과 꼬리표 붙이기
__정리
__시험에 필요한 핵심 사항
__복습 문제

4장 디지털 증거 획득
__포렌식용 EnCase 부팅 디스크 만들기
__EnCase 부팅 디스크를 사용한 컴퓨터 부팅
____보이지 않는 HPA와 DCO 데이터 보기
____DOS 부팅을 사용하는 다른 이유
____DOS 부팅을 사용하는 절차
__디스크에서 디스크로 DOS 획득
____디스크에서 디스크로 DOS 획득 절차
____디스크에서 디스크로 DOS 획득에 대한 추가 정보
__네트워크 획득
____네트워크 획득을 사용하는 이유
____네트워크 케이블 이해
____EnCase 네트워크 부팅 디스크 준비
____EnCase 네트워크 부팅 CD 준비
____네트워크 획득 절차
__FastBloc/Tableau를 이용한 획득
____사용 가능한 FastBloc 모델
____FastBloc 2의 기능
____Tableau(FastBloc)를 이용한 획득 절차
__FastBloc SE를 이용한 획득
____FastBloc SE 소개
____FastBloc SE를 이용한 획득 절차
__LinEn을 이용한 획득
____읽기 전용으로 파일 시스템 마운트
____최신 버전의 LinEn으로 리눅스 부팅 CD 업데이트
____LinEn 실행
____LinEn을 이용한 획득 절차
__Enterprise와 FIM을 이용한 획득
__휴대용 EnCase
__유용한 힌트
__정리
__시험에 필요한 핵심 사항
__복습 문제

5장 EnCase의 개념
__EnCase 증거 파일 형식
__CRC, MD5, SHA-1
__증거 파일의 구성 요소와 기능
__새로운 증거 파일 형식
__증거 파일의 검증
__디스크와 볼륨에 대한 해시 값 계산
__EnCase 사건 파일
__EnCase 백업 유틸리티
__EnCase 환경설정 파일
__임시 증거 폴더
__정리
__시험에 필요한 핵심 사항
__복습 문제

6장 EnCase의 환경
__홈 화면
__EnCase 프로그램의 화면 배치
__사건 만들기
__트리 창
__테이블 창
____테이블 보기
____갤러리 보기
____타임라인 보기
____디스크 보기
__보기 창
____Text 보기
____Hex 보기
____Picture 보기
____Report 보기
____Doc 보기
____Transcript 보기
____File Extents 보기
____Permission 보기
____Decode 보기
____Field 보기
____Lock 옵션
____Dixon 상자
____위치 데이터(GPS)
____찾기 기능
____기타 보기와 도구
____조건식과 필터
____EnScript
____텍스트 스타일
____창 조정
____기타 보기
____전역 보기와 설정
____EnCase 옵션
__정리
__시험에 필요한 핵심 사항
__복습 문제

7장 데이터 검색과 북마크
__데이터의 이해
____2진수
____16진수
____문자
____ASCII
____유니코드
__EnCase 증거 처리기
__데이터 검색
____키워드 만들기
____GREP 키워드
____검색 시작
____검색 결과 보기와 결과 북마크
____북마크
__정리
__시험에 필요한 핵심 사항
__복습 문제

8장 파일 시그니처 분석과 해시 분석
__파일 시그니처 분석
____애플리케이션 연결의 이해
____새 파일 시그니처 생성
____파일 시그니처 분석 실행
__해시 분석
____MD5 해시
____해시 집합과 해시 라이브러리
____해시 분석
__정리
__시험에 필요한 핵심 사항
__복습 문제

9장 윈도우 아티팩트
__날짜와 시간
____표준 시간대
____윈도우 64비트 시간 정보
____표준 시간대 시차 보정
__휴지통
____휴지통 동작의 세부 사항
____INFO2 파일
____휴지통에서 파일의 소유자 확인
____휴지통에서 복원되거나 삭제된 파일
____EnCase 증거 처리기를 사용해 휴지통 파일의 상태 확인
____휴지통을 거치지 않고 삭제
____윈도우 비스타/윈도우 7 휴지통
__링크 파일
____바로 가기 속성 변경
____링크 파일의 포렌식적 중요성
____링크 파일 파서 사용
__윈도우 폴더
__Recent 폴더
__Desktop 폴더
__내 문서/문서
__Send To 폴더
__Temp 폴더
__Favorites 폴더
__윈도우 비스타의 Low 폴더
__Cookies 폴더
__History 폴더
__임시 인터넷 파일
__스왑 파일
__하이버네이션 파일
__인쇄 스풀링
__기존 운영체제의 아티팩트
__윈도우 볼륨 섀도 복사본
__윈도우 이벤트 로그
____이벤트 로그에서 사용할 수 있는 정보의 종류
____감사 수준 결정
____윈도우 비스타/7 이벤트 로그
____윈도우 이벤트 로그 파서 사용
____더 많은 정보
__정리
__시험에 필요한 핵심 사항
__복습 문제

10장 고급 EnCase
__파티션 찾기와 마운트
__파일 마운트
__레지스트리
____레지스트리의 역사
____레지스트리의 구성과 용어
____EnCase에서의 레지스트리 마운트와 내용 보기
____레지스트리 연구 기법
__EnScript와 필터
____EnScript 실행
____필터와 조건식
__이메일
__Base64 인코딩
__EnCase 복호화 스위트
__가상 파일 시스템(VFS)
__복원
__물리 디스크 에뮬레이터(PDE)
__다 함께 모아놓기
__정리
__시험에 필요한 핵심 사항
__복습 문제

부록A 복습 문제 해답
부록B 종이 없는 보고서 작성
부록C 추가 학습 도구