무민이의 반반무많이

파일 분석 본문

Forensic/EnCase

파일 분석

M00min 2016.11.21 23:34

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


EnCase에서 파일을 클릭하고, 하단의 Hex 탭을 확인해 보면, 끝 부분이 비어있는 파일과 빨간색으로 채워져 있는 파일로 구분되는 것을 확인할 수 있다. 끝 부분이 비어있는 파일은 슬랙(Slack) 공간이 존재하지 않는 파일이고, 빨간색으로 채워져 있는 파일은 슬랙(Slack) 공간이 존재하는 파일이다.

(슬랙 공간(Slack Space)이란 저장매체의 물리적인 구조와 논리적인 구조의 차이로 발생하는 낭비 공간으로, 물리적으로는 할당된 공간이지만, 논리적으로는 사용할 수 없는 공간을 의미한다.)


슬랙 공간이 존재하는 파일을 선택하고, 하단의 Hex 값이 있는 부분에서 마우스 우클릭 - Device - Disk View...를 클릭한다.


해당 파일을 클러스터 단위로 볼 수 있다. (네모 한 개가 클러스터 1개)


하단 상태 표시줄의 PS = Physical Sector, SO = Sector Offset, FO = File Offset, LE = LEngth

'Forensic > EnCase' 카테고리의 다른 글

파일 정보 확인(View File Structure)  (0) 2016.11.23
Process Evidence 실행  (0) 2016.11.21
파일 분석  (0) 2016.11.21
FTK 사용법  (0) 2016.11.08
FAU 사용법  (0) 2016.11.07
Helix 사용법  (0) 2016.11.06
0 Comments
댓글쓰기 폼