볼륨섀도의 포렌식 의미나 분석의 가치 등등은 구글링하면 국문으로도 확인할 수 있는 사이트가 많으므로 여기서는 패스하고..
보통 난 분석할 때 ShadowExplorer를 사용한다. gui라서 보기 편해서 애용함
어차피 vssadmin 기반으로 만들어져서 vssadmin list에서 확인할 수 있는 파티션에 대해서만 볼륨섀도를 보여준다.
이미지파일을 일반적인 방법으로 마운트하면 확인할 수 없고
caching 설정을 해줘야 한다.
Encase에서는 이미지 혹은 파티션 우클릭 후
Device->Share->Mount as Emulated Disk
Disable caching을 unchecked하고 저장할 cache 경로를 지정하면 됨
FTK imager에서도 마찬가지로 writable 설정하고 캐시 경로를 지정해주면 된다
지인이 물어봐서 정리겸 글 작성함.
사실 일요일에 연구실에서 일하자니 영 의욕이 안생기기도 하고
아무튼 쉬고 싶다...