무민이의 반반무많이

FTK 사용법 본문

Forensic/EnCase

FTK 사용법

M00min 2016.11.08 23:08

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


■ Local 이미지 수집

1. 메뉴의 File – Add All Attached Devices를 클릭한다.


2. 아래 그림과 같이 자신의 PC에 할당된 디스크 정보를 트리 형식으로 확인할 수 있다.


3. C:\를 클릭하고상단 메뉴의 File – Create Disk Image...를 클릭한다.


4. 수집할 원본 형식을 선택할 수 있는데, Logical Drive를 선택하고다음(N) 버튼을 클릭한다.


5. C:\를 선택하고, Finish 버튼을 클릭한다.


6. Add... 버튼을 클릭한다.


7. E01을 선택하고다음(N) 버튼을 클릭한다.


8. 정보를 입력하고다음(N) 버튼을 클릭한다.


9. 이미지를 생성할 경로와 파일명을 입력하고, Finish 버튼을 클릭한다. (Image Fragment Size : 분할할 파일 크기, Compression : 압축, Use AD Encryption : 암호화)


10. 하단의 Start 버튼을 클릭한다.


11. 아래와 같이, C:\에 대한 이미징 작업이 진행되는 것을 확인할 수 있다.


12. 이미징이 완료되면 9번에서 지정한 경로에 생성된 이미지 파일들을 확인할 수 있다.

'Forensic > EnCase' 카테고리의 다른 글

Process Evidence 실행  (0) 2016.11.21
파일 분석  (0) 2016.11.21
FTK 사용법  (0) 2016.11.08
FAU 사용법  (0) 2016.11.07
Helix 사용법  (0) 2016.11.06
원격 이미지 추출  (0) 2016.11.05
0 Comments
댓글쓰기 폼