안녕하세요. 도깬리 포렌식스 입니다.
오늘은 EnCase의 증거 처리기(Evidence Processor)에 대하여 알아 보겠습니다. 디지털 증거 분석을 위한 다양한 분석 모듈이 Evidence Processor에 포함되어 있습니다. 한번 살펴 볼까요?
Evidence Processor
Evidence Processor 에서는 기본적으로 증거 볼륨을 단위로 프로세싱합니다.
체크한 파일만을 대상으로 Evidence Processor를 수행하는 방법
(1) Evidence에서 대상 파일을 체크합니다.
(2) Tree view의 최고 상단에서 오른 마우스 -> Entries -> Create results
(3) Results 탭에서 확인
(4) 다시 Evidence 탭으로 가서 EP 실행
(5) What to process 에서 Result 선택
Evidence Processor를 순차적으로 수행할 경우의 분석 순서
(1) 사용자 데이터에 대하여 기본적인 분석을 수행한 후, 순차적으로 시스템이 자동으로 생성하는 데이터에 대하여 추가적인 분석을 수행하는 것이 일반적입니다.
(2) 다만, 해당 사건의 특성에 따라 추가적인 분석의 요부가 결정되기도 합니다.
Evidence Processor 실행
EP를 실행 한 결과는 논리적 이미지로 만들어 두는 것이 좋습니다.
그래야 메모리의 부담을 줄일 수 있습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] 인덱스 검색 (Index Searches) (0) | 2022.03.28 |
|---|---|
| [EnCase] 폴더 복구 (Recovery Folders) (0) | 2022.03.26 |
| [EnCase] NTFS 분석 (2) (0) | 2022.03.22 |
| [EnCase] NTFS 분석 (1) (1) | 2022.03.20 |
| [EnCase] 타임존 (Time Zone) 분석 (0) | 2022.03.17 |