* 본 내용은 디지털포렌식전문가 2급 준비를 하며 정리를 한거며 주관적 견해가 많이 들어가 있을 수 있습니다.
1. 쓰기 방지 설정
시험 시작 후 USB를 받게 된다면 꽂기 전에 쓰기 방지 설정을 해야한다.
EnCase를 이용한 쓰기 방지 또는 레지스트리 수정으로 쓰기 방지를 설정해야한다.
2. 이미지 생성
쓰기 방지 설정이 되었다면 이미지 생성을 진행 해야한다. Encase 또는 FTK Imager 등 관련 도구를 이용해서 생성 해야하며, 작성자는 FTK Imager로 진행하였다.
그 후 Physical Drive 선택, USB 선택을 하면 다음 창으로 넘어가게 된다.
Verify images after they are created와 Precalulate Progress Statistics 이렇게 두 개를 체크해주었다.
주로 이미지 파일로 연습을 했는데 SHA1 Hash 값이 안 나오는 경우가 있는데 첫 번째 옵션을 체크 하고 다시 E01 형식으로 하게 되면 값이 나왔다. USB는 시간이 오래걸려 다시 해보고 작성 예정이다.
이미지 파일 추출이 완료 되면 FTK Imager와 Autopsy에서 파티션이 잘 열리는지 여부와 각각의 파티션 대조를 하여 잘 맞는지 확인 후 분석 진행을 하면 된다.
'디지털포렌식2급전문가' 카테고리의 다른 글
| [디지털포렌식전문가 2급_실기] 메모장 (0) | 2024.11.03 |
|---|---|
| [디지털포렌식전문가 2급_실기] MBR분석, VBR (0) | 2024.11.03 |
| [디지털포렌식전문가 2급_실기] 디지털 포렌식 압수 수색 절차 (2) | 2024.10.29 |
| [디지털포렌식전문가 2급_실기] 자동실행 방지 (0) | 2024.10.23 |
| [디지털포렌식전문가 2급_실기] 쓰기 방지(레지스트리) (0) | 2024.10.14 |