무민이의 반반무많이

Process Evidence 실행 본문

Forensic/EnCase

Process Evidence 실행

M00min 2016.11.21 23:36

(공감과 댓글 하나는 글쓴이에게 큰 힘이 됩니다.)


Evidence Processing을 위해서는 Time Zone Setting, 삭제된 파티션 복구, 암호화된 디스크 복호화가 사전에 진행되어야 한다.


■ 섹터 수 확인

1. 좌측 상단 트리에서 Entries를 클릭하고, 하단의 Report 탭을 클릭해서 확인하면, 해당 파티션의 총 섹터수와 하드디스크의 총 섹터수가 일치하지 않는 것을 확인할 수 있다.


2. Entries 바로 하단의 디스크 이름을 클릭하면, Unused Disk Area 영역이 존재하는 것을 확인할 수 있는데, 이 영역 때문에 섹터수가 일치하지 않는 결과가 발생하였다.


■ Process Evidence

1. C드라이브에 들어가서 상단 메뉴의 Process evidence를 클릭한다.


2. Modules의 System Info Parser, Windows Artifact Parser를 체크하고, OK 버튼을 클릭한다.


3. 상단 메뉴의 View - Process Manager를 통해 진행 과정을 확인할 수 있다.


4. Processing이 완료되면, 뒤로가서 다시 오픈 후 C를 눌렀을 때, 새로 반영된 결과가 나타난다.

'Forensic > EnCase' 카테고리의 다른 글

Time Zone(타임 존) 확인 및 설정  (0) 2016.11.23
파일 정보 확인(View File Structure)  (0) 2016.11.23
Process Evidence 실행  (0) 2016.11.21
파일 분석  (0) 2016.11.21
FTK 사용법  (0) 2016.11.08
FAU 사용법  (0) 2016.11.07
0 Comments
댓글쓰기 폼