EnCase 실무 활용 가이드
- EnCase 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
이미지 추가 [ by 김종광 ]
EnCase 증거데이터 불러오기
Case 생성 후 Add Evidence를 이용하여 증거 데이터를 불러올 수 있습니다.
Evidence File 추가
증거데이터의 타입별로 불러오기가 가능합니다.
이미지 추가 옵션
-
1. Add Loacal Device
- Tableau T35u와 같은 쓰기방지 장치를 통해 마운트 한 디바이스장치의 정보를 불러올 때 사용합니다.
-
2. Add Network Preview
- EnCase Agent를 통해 원격 증거수집 / 분석을 수행할 수 있습니다.
-
3. Add Evidence File
- 현장에서 Disk to File 형식으로 수집한 E01, Ex01, L01, Lx01 파일을 불러올 때 사용합니다.
-
4. Add Raw Image
- 현장에서 Disk to File 형식으로 수집한 Raw 파일을 불러올 때 사용합니다.
-
5. Add Crossover Preview
- Cross Cable을 이용하여 Device를 마운트 하고 정보를 불러올 때 사용합니다.
증거소스 추가
Add Local Device로 증거데이터를 불러올 시 드라이브 마운트 방식과 메모리 / 프로세스 등 불러오기 범위를 추가 지정할 수 있습니다.
증거소스 추가
Add Evidence는 Image File의 경로를 선택 또는 드래그 앤 드롭(Drag&Drop) 방식으로 추가할 수 있습니다.
증거소스 추가
Add Raw Image의 경우도 Add Evidence File과 동일하게 이미지 파일의 경로를 지정합니다.단, 자동으로 압축 해제를 하지 못하기 때문에 분할 압축된 모든 파일을 불러오기 합니다.
