안녕하세요. 도깬리 포렌식스 입니다.
오늘은 파일 카빙 두번째 시간입니다. EnCase에서는 자동 카빙 기능을 제공합니다. 일반적으로 수동 카빙 보다는 자동 카빙 기능을 많이 이용 하시죠? 이제 자동 카빙에 대해 알아봅시다.
EnCase V7 이후 버전에서의 자동 카빙 순서
(1) 먼저 카빙할 대상 파일의 기본 사이즈와 파일 헤더(File Header), 푸터(Footer, 값이 있는 경우에만)를 미리 확인해 둡니다.
(2) EnCase Processor Options에 포함되어 있는 File Carver에서 File Types를 결정합니다.
(3) Export Setting 에서 [Export Carved Files]를 체크하면, 자동으로 카빙된 파일을 내보내기 할 수 있습니다.
(4) 카빙의 결과 확인은 Records 탭에서 Evidence Processor Module Results 폴더를 하이라이트 하고 File Carver를 더블 클릭합니다.
감사합니다. 오늘은 간단히 여기까지입니다.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (1)
'EnCase' 카테고리의 다른 글
| [EnCase] 증거이미지 재작성 (사본 이미지 만들기) (0) | 2022.02.17 |
|---|---|
| [EnCase] 디바이스 복원 (Device Restore)하는 방법 (0) | 2022.02.16 |
| [EnCase] 파일 카빙 (File Carving) (1) (0) | 2022.02.14 |
| [EnCase] EnCase의 협업기능 (Review Pakage) (0) | 2022.02.13 |
| [EnCase] Bookmark 결과물을 보고서로 내보내는 방법 (0) | 2022.02.12 |