소개[편집]

ESEDatabaseView는 NirSoft 에서 무료로 제공하는 유틸리티이다. 최신 버전은 1.23이고, 본 항에서는 최신버전인 1.23을 기반으로 보고서를 작성하였다. ESEDatabaseView은 Windows 2000 ~ 8.1까지 32bit, 64bit에서 기본적으로는 GUI로 동작하지만, 콘솔에서도 명령어를 통해 동작가능하다. 입력 가능한 파일은 ESE Database File인 edb와 dat이 된다.

사용법[편집]

[그림 1] ESEDatabaseView의 첫 실행 화면

ESEDatabaseView를 첫 실행하면 [그림 1]와 같다. 데이터베이스가 구성하고 있는 테이블의 구조 확인이 가능하다.

도구 기능[편집]

ESEDatabaseView는 화면의 상단에 보면 메뉴들을 통한 이용이 가능하다. 메뉴에는 File, Edit, View, Options 가 있다. File 메뉴에는 [그림 2]와 같이 최근에 열었던 파일을 제외하고 총 3가지의 유형의 파일에 대해 입력이 가능하다.

[그림 2] File 메뉴

File 메뉴에서는 Ese Database파일을 입력하거나 Internet Explorer 10의 잠겨진 Database파일을 입력하거나 SoftwareDistribution Database를 입력 할 수 있다.

[그림 3] Edit 메뉴

Edit 메뉴에는 [그림 3]와 같이 검색, 복사, 전체 선택 등의 기능이 있다.

[그림 4] 검색 화면

여기서 검색 기능은 [그림 4]와 같이 영문(대소문자 구분), 숫자 등으로 직접 사용자가 검색할 값을 입력하여 검색이 가능하다.

[그림 5] View 메뉴

View 메뉴에는 [그림 5]와 같이 보기설정, 마크, HTML로 리포트 출력, 칼럼 선택, 화면에 맞게 칼럼 조절 등의 기능이 있다.

[그림 6] Options 메뉴

Options 메뉴에는 [그림 6]와 같이 64bit 데이터와 시간 탐색, 날짜와 시간 조정 등의 기능이 있다.

[그림 7] 바로가기 메뉴

그리고 File, Edit, View, Options 메뉴 아래에 [그림 7]와 같이 아이콘 모양의 간편 메뉴들이 있다. 위에서 모두 설명한 메뉴의 바로가기 아이콘이다. 순서대로 ESE Database File 열기, 저장하기, 새로고침, 데이터 값 복사하기, Properties, 검색, ESEDatabaseView 종료 기능이다.

[그림 8] Properties 선택 화면

Properties는 선택한 칼럼(Column) 값을 [그림 8]와 같이 보다 더 상세하게 정보를 보여주는 기능이다.

[그림 9] 테이블 선택 화면

아이콘 메뉴 아래에는 [그림 9]와 같이 사용자가 입력한 edb 또는 dat 파일에서의 존재하는 모든 테이블 이름을 확인 할 수 있다. 이 테이블을 선택하여 칼럼 정보를 볼 수 있다.

제한사항[편집]

검색 기능에서 전체 테이블에 대한 사용자가 찾고자 하는 입력 값을 찾지는 못하고 선택한 테이블 내에서만 검색한다는 한계점이 있다.

수사 활용 방안[편집]

dat 파일을 뷰어처럼 보여주는 유틸리티는 거의 없다. 그렇기 때문에 수사에서 dat 파일을 분석해야할 경우, ESEDatabaseView는 많은 도움이 될 수 있다.