무민이의 반반무많이

Helix 사용법 본문

Forensic/EnCase

Helix 사용법

M00min 2016.11.06 13:58

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


Helix를 통해 휘발성과 비휘발성 Dump를 뜰 수 있다.


    휘발성 데이터 수집(Local)

1. 좌측의 Volatile Data를 클릭하고, Output Format를 선택 후 Start Acquisition 버튼을 클릭한다.


2. 경로와 파일 이름을 지정하고저장 버튼을 클릭한다.


3. 저장된 파일을 실행하면수집된 휘발성 데이터(Network Adapter information, Network Statistics information …)를 확인할 수 있다.


    비휘발성 데이터 수집(Local)

1. 디스크 선택 – Acquire 클릭해서 내용을 입력하고이미지 파일을 생성할 경로 지정 후 Start Acquisition 버튼을 클릭


2. 지정한 경로에 이미지 파일이 생성되는 것을 확인할 수 있다.


    원격 이미지 수집

 Helix를 이용하여 별도의 Agent를 생성하지 않고조사관 PC에 포트를 열고조사대상 PC에서 해당 포트에 접속하여 원격으로 이미지를 전송할 수 있다.


1. 조사관 PC에서 Helix 상단 메뉴의 File – Launch Receiver를 클릭한다.


2. 경로와 비밀번호를 입력하고, Listen For Connections 버튼을 클릭한다.


3. 조사대상 PC로부터 8888포트를 통해 원격으로 받아올 준비가 되었다.


4. 조사대상 PC인 XP에서 Helix를 실행한다.


5. 이미지를 전송할 디스크를 선택하고, Acquire 버튼을 클릭한다.


6. Output Type는 RAW를 선택(RAW로만 전송가능)하고내용을 작성한다하단에 Image to Helix Pro Recever를 선택하고우측 하단의 Setup 버튼을 클릭한다.


7. 조사관 PC의 IP 2번에서 설정한 비밀번호를 입력하고포트 번호가 8888이 맞는지 확인한 후 Save 버튼을 클릭한다.


8. Start Acquisition 버튼을 클릭한다.


9. 2번에서 설정한 경로에 수집한 이미지 파일이 정상적으로 전송되는 것을 확인할 수 있다..

'Forensic > EnCase' 카테고리의 다른 글

FTK 사용법  (0) 2016.11.08
FAU 사용법  (0) 2016.11.07
Helix 사용법  (0) 2016.11.06
원격 이미지 추출  (0) 2016.11.05
쓰기 방지 설정  (0) 2016.11.04
Local Image(로컬 이미지) 추출  (0) 2016.10.29
0 Comments
댓글쓰기 폼