ESEDatabaseView

Digital Forensic Wikipedia
MinGyuKim (토론 | 기여)님의 2015년 1월 22일 (목) 22:28 판
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 가기 검색하러 가기

소개

ESEDatabaseView는 NirSoft 에서 무료로 제공하는 유틸리티이다. 최신 버전은 1.23이고, 본 항에서는 최신버전인 1.23을 기반으로 보고서를 작성하였다. ESEDatabaseView은 Windows 2000 ~ 8.1까지 32bit, 64bit에서 기본적으로는 GUI로 동작하지만, 콘솔에서도 명령어를 통해 동작가능하다. 입력 가능한 파일은 ESE Database File인 edb와 dat이 된다.


사용법

[그림 1] ESEDatabaseView의 첫 실행 화면

ESEDatabaseView를 첫 실행하면 [그림 1]와 같다. 데이터베이스가 구성하고 있는 테이블의 구조 확인이 가능하다.






도구 기능

ESEDatabaseView는 화면의 상단에 보면 메뉴들을 통한 이용이 가능하다. 메뉴에는 File, Edit, View, Options 가 있다. File 메뉴에는 [그림 2]와 같이 최근에 열었던 파일을 제외하고 총 3가지의 유형의 파일에 대해 입력이 가능하다.

[그림 2] File 메뉴


File 메뉴에서는 Ese Database파일을 입력하거나 Internet Explorer 10의 잠겨진 Database파일을 입력하거나 SoftwareDistribution Database를 입력 할 수 있다.

[그림 3] Edit 메뉴

Edit 메뉴에는 [그림 3]와 같이 검색, 복사, 전체 선택 등의 기능이 있다.

[그림 4] 검색 화면

여기서 검색 기능은 [그림 4]와 같이 영문(대소문자 구분), 숫자 등으로 직접 사용자가 검색할 값을 입력하여 검색이 가능하다.

[그림 5] View 메뉴

View 메뉴에는 [그림 5]와 같이 보기설정, 마크, HTML로 리포트 출력, 칼럼 선택, 화면에 맞게 칼럼 조절 등의 기능이 있다.

[그림 6] Options 메뉴

Options 메뉴에는 [그림 6]와 같이 64bit 데이터와 시간 탐색, 날짜와 시간 조정 등의 기능이 있다.

[그림 7] 바로가기 메뉴

그리고 File, Edit, View, Options 메뉴 아래에 [그림 7]와 같이 아이콘 모양의 간편 메뉴들이 있다. 위에서 모두 설명한 메뉴의 바로가기 아이콘이다. 순서대로 ESE Database File 열기, 저장하기, 새로고침, 데이터 값 복사하기, Properties, 검색, ESEDatabaseView 종료 기능이다.

[그림 8] Properties 선택 화면

Properties는 선택한 칼럼(Column) 값을 [그림 8]와 같이 보다 더 상세하게 정보를 보여주는 기능이다.

[그림 9] 테이블 선택 화면

아이콘 메뉴 아래에는 [그림 9]와 같이 사용자가 입력한 edb 또는 dat 파일에서의 존재하는 모든 테이블 이름을 확인 할 수 있다. 이 테이블을 선택하여 칼럼 정보를 볼 수 있다.

제한사항

검색 기능에서 전체 테이블에 대한 사용자가 찾고자 하는 입력 값을 찾지는 못하고 선택한 테이블 내에서만 검색한다는 한계점이 있다.

수사 활용 방안

dat 파일을 뷰어처럼 보여주는 유틸리티는 거의 없다. 그렇기 때문에 수사에서 dat 파일을 분석해야할 경우, ESEDatabaseView는 많은 도움이 될 수 있다.