안녕하세요. 도깬리 포렌식스 입니다.
오늘은 케이스 만들기와 윈도우 비트락커(Windows BitLocker)에 대해 살펴 봅니다.
케이스의 폴더 구조
Case 폴더를 만들면 EnCase는 그 하부에 필요한 폴더를 자동으로 생성합니다.
새로운 Case를 만들게 되면 Case를 일단 만들면 무조건 한번 저장해 두는 것이 좋습니다.
Windows BitLocker
Window Vista 에서는 시스템 볼륨을 보호하기 위하여 출시한 기능입니다.
Window Vista SP1 부터는 사용자 디스크도 지원하였습니다.
Window 7 부터는 이동식 디스크도 지원합니다.
BitLocker는 복구키(.BEK) 또는 패스워드를 입력해야 암호가 걸린 볼륨의 내용을 볼 수 있습니다.
BitLocker를 설정하게 되면 복구키(BitLocker Encryption Key(BEK))가 생성되고, 더불어 복구 패스워드(48개의 숫자, 8개의 세그먼트로 나뉘어져 있음)가 만들어 집니다.
아래 그림을 보면, FVE-FS(Full Volume Encryption File System)라는 시그너처가 보입니다. 이것이 바로 BitLocker 볼륨의 시그너처입니다.
감사합니다.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] 파티션 복구 (Partition Recovery) (2) (0) | 2022.03.01 |
|---|---|
| [EnCase] 파티션 복구 (Partition Recovery) (1) (0) | 2022.02.27 |
| [EnCase] 분석 데이터를 보관, 관리하는 방법 (0) | 2022.02.18 |
| [EnCase] 증거이미지 재작성 (사본 이미지 만들기) (0) | 2022.02.17 |
| [EnCase] 디바이스 복원 (Device Restore)하는 방법 (0) | 2022.02.16 |