안녕하세요. 도깬리 포렌식스 입니다.
오늘은 증거이미지를 재작성하는 방법에 대해 살펴 봅니다. 이미 작성된 증거이미지에 대하여 사본 이미지를 만드는 등 증거이미지를 다시 작성해야 하는 경우가 간혹 있죠. 이제 시작할까요?
증거이미지 사본은 분석용 사본과 보관용 사본 2개를 만드는 것이 좋습니다.
분석용 사본
긴급하게 분석하여야 할 경우, 분석용 사본은 압축을 하지 않고 이미징합니다.
보관용 사본
보관 용량을 줄여야 하므로, 보관용 사본은 압축을 최대로 하여 이미징합니다.
원래의 증거이미지 파일과 중복되지 않도록 파일명을 다르게 하여 저장합니다.
[Verify File Integrity…]
디바이스를 선택하고 재이미징한 것에 대한 해시값을 검증합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (1)
'EnCase' 카테고리의 다른 글
| [EnCase] 케이스 만들기와 윈도우 비트락커(Windows BitLocker) (0) | 2022.02.20 |
|---|---|
| [EnCase] 분석 데이터를 보관, 관리하는 방법 (0) | 2022.02.18 |
| [EnCase] 디바이스 복원 (Device Restore)하는 방법 (0) | 2022.02.16 |
| [EnCase] 파일 카빙 (File Carving) (2) (0) | 2022.02.15 |
| [EnCase] 파일 카빙 (File Carving) (1) (0) | 2022.02.14 |