[EnCase] 복사 옵션 (Copy Options)

안녕하세요^^ 도깬리 포렌식스 입니다. 오늘은 EnCase 분석환경에서 어떤 특정한 데이터를 윈도우 환경으로 복사하는(내보내는 or 추출하는) 여러가지 옵션과 기능에 대해 살펴봅시다.

 

복사하기 옵션 개요

Entries, Results, Search 뷰에서 [Copy files…], [Copy folders…] 옵션을 사용할 수 있습니다.

다른 뷰(예: Bookmark)에서는 [Go to File]을 선택한 다음, 이 옵션을 실행해야 합니다.

Bookmark 에서 [Go to File]을 선택하게 되면 해당 Bookmark 탭 내에서 Entries 뷰로 전환 됩니다.

EnCase V6에서는 이 경우, 뷰가 Evidence 탭으로 전환됩니다.

 

Entries 뷰에서 하이라이트된 파일을 복사하기

[Logical File Only]

슬랙공간은 복사 되지 않습니다.

 

[Entire Physical File]

논리적 파일과 슬랙공간 모두 복사됩니다.

 

[RAM and Disk Slack]

논리적 파일은 복사되지 않습니다.

슬랙공간만 복사됩니다.

 

[RAM Slack Only]

RAM 슬랙 공간만 복사됩니다.

 

[Character Mask]

일반적으로 None을 선택합니다.

 

[Show Error]

복사과정에서 에러 발생시 오류 메시지를 표시하게 합니다.

 

[Spilt files above]

복사되는 파일이 너무 클 경우, 잘라주는 단위를 표시합니다.

 

 

Entries 뷰에서 선택된 파일 복사하기

Results 뷰 또는 Search 뷰에서 하이라이트, 선택된 파일 복사하기

Results, Search 탭 -> [Results] -> [Copy Files…]를 선택합니다.

Evidence 탭 -> [Entries] -> [Copy Files…]를 선택합니다.

 

Entries 뷰에서 폴더 복사하기

현재 폴더 아래의 모든 하위 폴더와 모든 파일을 복사

[Entries] -> [Copy Folders…]를 선택합니다.

 

[Copy only selected files within each folder]

현재 폴더 아래의 폴더 구조를 유지하면서 선택된 파일을 복사합니다.

즉, 현재 폴더 아래에서 선택된 파일을 경로대로 복사하는 것입니다.

 

 

감사합니다. 오늘은 여기 까지입니다.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (1)