이미지 파일에서 볼륨섀도카피(Volume Shadow Copy) 분석

볼륨섀도의 포렌식 의미나 분석의 가치 등등은 구글링하면 국문으로도 확인할 수 있는 사이트가 많으므로 여기서는 패스하고..

보통 난 분석할 때 ShadowExplorer를 사용한다. gui라서 보기 편해서 애용함

어차피 vssadmin 기반으로 만들어져서 vssadmin list에서 확인할 수 있는 파티션에 대해서만 볼륨섀도를 보여준다.

이미지파일을 일반적인 방법으로 마운트하면 확인할 수 없고

caching 설정을 해줘야 한다.

Encase에서는 이미지 혹은 파티션 우클릭 후

Device->Share->Mount as Emulated Disk

Disable caching을 unchecked하고 저장할 cache 경로를 지정하면 됨

FTK imager에서도 마찬가지로 writable 설정하고 캐시 경로를 지정해주면 된다

지인이 물어봐서 정리겸 글 작성함. 

사실 일요일에 연구실에서 일하자니 영 의욕이 안생기기도 하고

아무튼 쉬고 싶다...