무민이의 반반무많이

Local Image(로컬 이미지) 추출 본문

Forensic/EnCase

Local Image(로컬 이미지) 추출

M00min 2016.10.29 01:04

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


추출하고자 하는 드라이브 마우스 우클릭 – Acquire – Acquire를 통해 드라이브 전체를 E01이나 Ex01 형식으로 추출하거나, 파일이나 폴더 체크 후 마우스 우클릭 – Acquire - Create Local Evidence File…을 통해 파일이나 폴더를 무결성을 깨뜨리지 않고, 추출할 수 있다.


1. Location 탭

- Restart Acquisition : 사용자에 의한 중지시에만 동작(에러 발생 시 동작하지 않음)


2. Format 탭

- Evidence File Format : Ex01(암호화 불가), E01(암호화 가능)

- Compression : 압축 여부 설정(압축시 용량↓시간↑)

- File SegmentSize : 분할할 수도 있고, 전체 크기도 가능


3. Advanced 탭

- Block Size (Sectors)

- Error Granularity : 1개의 오류가 발생했을 때, 전체를 에러 처리할 것인지, 하나만 에러 처리할 것인지 선택(전체를 에러처리 할 경우 시간↑)

'Forensic > EnCase' 카테고리의 다른 글

FAU 사용법  (0) 2016.11.07
Helix 사용법  (0) 2016.11.06
원격 이미지 추출  (0) 2016.11.05
쓰기 방지 설정  (0) 2016.11.04
Local Image(로컬 이미지) 추출  (0) 2016.10.29
Case 생성 및 증거 추가  (0) 2016.10.27
0 Comments
댓글쓰기 폼