volume shadow 분석 using Encase vss

카테고리 없음

KUO88 2017. 8. 20. 16:36

vss_examiner는

Encase에서 Physical Disk Emulator (PDE) 로 마운트한 후에 vss_examiner를 사용해야 한다.

이 script는 볼륨 섀도를 마운트 시키고 사용자가 지정해놓은 condition에 따라 파일을 추출하는 프로그램이다.

추가로 hash library 처럼 hash 기반 파일 서칭 기능을 제공한다.

condition은 일반적으로 사용하는 encase condition과 거의 흡사한데, 속성 중 이름, 확장자, 경로, 크기만 설정할 수 있다.

조건에 맞는 파일들을 논리적 이미지 L01로 생성하고 이를 인케이스에서 열어서 확인할 수 있다.

더 자세한 정보는 도움말 pdf 파일을 읽어보면 된다

볼륨 섀도 카피에서의 파일 복구 가능성은 다음에 시간날 때 해보는 걸로...