무민이의 반반무많이

Case 생성 및 증거 추가 본문

Forensic/EnCase

Case 생성 및 증거 추가

M00min 2016.10.27 23:59

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


본격적으로 분석을 시작하기에 앞서, 분석할 대상을 지정해 주어야 한다. 이번에는 본인의 Local Device를 대상으로 지정해주는 방법에 대해 알아보도록 하자.


1. 메인의 New Case 또는 메뉴의 Case – New Case를 클릭한다.


2. 좌측 상단에서 #5 Flexible을 선택하고, 하단의 정보, 우측의 이름, 경로 등을 설정하고 OK 버튼을 클릭한다.


3. 백업 위치와 기본 경로가 같은 드라이브에 있는 것을 허용하는지, 백업 위치와 캐시 경로가 같은 드라이브에 있는 것을 허용하는지, 해당 경로에 폴더가 존재하지 않는 경우 폴더를 생성할 것인지를 묻는 창에서 예(Y) 버튼을 클릭한다.


4. 정상적으로 Case가 생성된 것을 확인할 수 있다.

             

5. Add Evidence를 클릭한다.


6. 자신의 현재 드라이브를 추가하기 위해 Add Local Device를 클릭한다.


7. 간단하게 확인만 해볼 것 이기 때문에, 모든 체크 박스를 해제하고, 다음 버튼을 클릭한다.


8. 0, 1, 2 등 숫자로 표시된 것은 물리적인 장치(HDD, USB …)을 말하고, C, D, E 등의 영어로 표시된 것은 드라이브(파티션)을 말한다. 첫번째 물리장치인 0번을 체크하고, 마침 버튼을 클릭한다.


9. 정상적으로 증거가 0번 물리장치에 대한 증거가 추가된 것을 확인할 수 있다.


10. 0번 물리장치가 있는 Row를 더블클릭하거나, 상단의 Open을 클릭한다.


11. 해당 물리장치에 존재하는 드라이브 및 폴더를 트리 구조로 확인할 수 있다.

'Forensic > EnCase' 카테고리의 다른 글

FAU 사용법  (0) 2016.11.07
Helix 사용법  (0) 2016.11.06
원격 이미지 추출  (0) 2016.11.05
쓰기 방지 설정  (0) 2016.11.04
Local Image(로컬 이미지) 추출  (0) 2016.10.29
Case 생성 및 증거 추가  (0) 2016.10.27
0 Comments
댓글쓰기 폼