반응형
케이스를 생성했다면, 실제로 증거물을 분석해 보아야 한다.
Encase에서 증거물의 추가는 굉장히 쉽다. 그냥 툴 바에 있는 Add Device 를 선택하면 증거물의 추가가 가능하다. (케이스를 생성해야만 Add Device 가 가능하다.)
여기서 일단 Local Drives 를 선택한다. (팜 파일럿이나 네트웍 연결도 가능하다.) 밑을 보면 증거 이미지를 추가할 수 있는 디렉토리도 보인다.
Locals
- 실제로 하드웨어에 물려있는 장치들
Evidence Files
- Locals 을 증거이미지로 만든것
그러면 이제 실제로 디스크를 추가할 수 있는 창이 뜨게 된다. 이중에서 알파벳으로 된것은 Logical Drive 들이고 0, 1, 2 숫자는 Physical Drive 를 말한다.
해당 디스크에 대한 정보가 나오게 된다. 마침을 누르면 실제로 파일 시스템을 분석하기 시작한다. 이게 모두 끝나면 이제 실제 파일 시스템의 내용을 볼 수 있다.
반응형
'Digital Forensics > EnCase' 카테고리의 다른 글
| Encase Series - 6 파티션 복구 (1) 볼륨 분석 (0) | 2010.03.26 |
|---|---|
| Encase Series - 4 기존 Case 파일 분석 (0) | 2010.03.24 |
| Encase Series - 2 Case 관리 (0) | 2010.03.23 |
| Encase Series - 1 설치 (0) | 2010.03.22 |
| Encase Series - 0 개요 (2) | 2010.03.22 |
