포렌식 (2) 썸네일형 리스트형 이미징한 디스크 기초 분석 보호되어 있는 글입니다. 디스크 이미징 가장 대표적인 FTK imager 툴을 이용해서 디스크 이미징을 수행한다. 디스크 이미징을 수행하는 이유는 증거를 분석 시 증거를 훼손하지 않기 위해서 하는 작업이다. 쉽게 말해서 본뜨는(?) 과정이다. 자칫 분석 도중에 실제 증거가 훼손되면 큰일나기 때문에. 순서대로 설명하고자 한다. 1. Create Disk image > 이미징할 디스크 생성하기 2. 증거 수집하려는 형태를 고를 수 있는데 디스크 이미징에서는 대부분 첫번째인 물리적 디스크에서 이미징을 수행하기 때문에 선택. Physical drive : 전체 디스크를 다 이미징 할 때 Logical drive : 파디션되거나 부분적인 디스크를 이미징할 때 둘을 가장 많이 씀. 3. 이미징을 수행하려는 물리 디스크 파일 선택. 4. 이미징할 디스크가.. 이전 1 다음
