Precaution

Don't use these contents for malicious purpose. Intended for
- Individuals who understand network fundamentals
- Use in authorized environments only
- To improve security prosture

Navigation Menu

Home / EnScript / Forensics / EnScript 주요 클래스들

EnScript 주요 클래스들

,
Figure 1 EnScript 주요 클래스 상속관계 (NodeClass)
1.   NodeClass
EnScript에서 가장 기본이 되며, 주로 사용되는 클래스들의 최상위 클래스이다. 클래스는 일반적인 트리(tree) 자료구조를 가진다. 따라서 여기에서 말하는 노드(node) 개념도 자료구조에서 말하는 그것과 같다. 대부분의 파일시스템은 트리의 구조를 가지므로, 디렉터리가 노드에 해당하며, 파일은 대부분이 리프노드(leaf node)라고 있다.

2.   ItemIteratorClass
EnCase에서는 NodeClass 기본으로 하여 리스트 형태로 묶어서 관리한다. 이러한 리스트를 관리하기 용이하도록 각종 기능을 제공해주는 클래스가 ItemIteratorClass이다. Node Item, Entry 등의 리스트 형태의 데이터를 쉽게 탐색할 있도록 각종 메소드를 제공해주는 클래스이다.
대부분 for문과 함께 반드시 한번은 사용되며, 초기값 설정 시에 클래스를 생성하며, 다음 Item이나 Entry 탐색할 있도록 한다. IterateModes 값에 따라서 Case내에서 탐색할 대상이 되는 item 범위가 다르다.

3.  ItemClass
ItemClass 모든 Item들에 대한 클래스의 기본이 된다. 이는 선택한 노드의 특성을 파악해주는 클래스이다. 여기서 특성이라 함은 카테고리, 형식 등의 정보들에 해당한다. , 컴퓨터 파일 하나에 대한 모든 정보 담고있다고 있다. NodeClass 통해 선택된 모든 item들의 기본이 되며, PICTURE, APPLICATION, ARCHIVE, DOCUMENT, EMAIL 등의 카테고리로 분류할 있다. 이는 사전에 정의된 파일 형식(File Types) 정보(기본적으로, 파일 확장자, 파일 시그니처) 기준으로 한다.
cf) NodeClass에서 노드는 파일과 폴더, 사진과 문서파일 등의 구분을 하지 않는다. , 노드가 가지는 특성에 대해서 고려하지 않는다.
이처럼 많은 열거형(Enumeration)으로 파일의 정보나 속성, 카테고리 등을 나타낼 수가 있으며, 이러한 열겨형의 값을 통해서 대부분의 파일에 대한 정보는 가져올 수가 있다. 때문에 당연하게도 if switch문과 같은 조건문에서 조건식의 기준으로서 빈번히 사용된다.

4. EntryClass
EnCase에서는 파일, 폴더 슬랙공간 등의 데이터를 구분하는 기본 단위로 엔트리(entry) 사용한다.
EntryClass 추가된 증거(Added Evidence) 시스템 항목에 대한 메타데이터를 포함한다.
cf) ItemClass 모든 파일을 다루지만, EntryClass 파일시스템 상에서의 파일들 만을 다룬다.
원문에 따르면, ItemClass 상속한다. EntryClass Entry 나타낸다. Entry 파일 시스템 item, , 파일, 폴더, 사용되지 않은 디스크 공간 세트 이다. EntryClass에는 생성시간, 마지막 액세스시간 등의 item속성이 포함되어 있다.
케이스에 있는 Entry들의 리스트를 얻으려면, CaseClass::EntryRoot() 메소드를 사용.
Item 내용을 가져 오려면 EntryFileClass 사용.
Item 대한 키워드검색을 수행하려면 SearchClass 객체를 만들고 SearchClass::Find(FileClass, long, int, uint) 메소드를 사용.
Entry 북마크하려면 case.BookmarkRoot () 하위 노드로 BookmarkClass 객체를 생성.
Entry에서 '파일구조보기' 수행하려면 EntryClass::MountVolume(uint, String) 메소드를 사용.
볼륨에서 'Recover Folders' 수행하려면 DeviceClass::MOUNTRECOVER 플래그로 장치를 마운트해야한다.

See Also: NodeClass,  CaseClass,  EntryFileClass,  BookmarkClass,  SearchClass

5. FileClass
FileClass buffer I/O 기본 클래스이며, 인스턴스화할 없다. 파일 /출력과 관련된 많은 메소드를 가진다.

EnScript 주요 클래스들 EnScript 주요 클래스들 Reviewed by Polynomeer on 오후 1:25 Rating: 5

댓글 없음:

피드 구독하기: 댓글 ( Atom )

Like Us

Powered by Blogger.