볼륨 섀도 썸네일형 리스트형 이미지 파일에서 볼륨섀도카피(Volume Shadow Copy) 분석 볼륨섀도의 포렌식 의미나 분석의 가치 등등은 구글링하면 국문으로도 확인할 수 있는 사이트가 많으므로 여기서는 패스하고..보통 난 분석할 때 ShadowExplorer를 사용한다. gui라서 보기 편해서 애용함 어차피 vssadmin 기반으로 만들어져서 vssadmin list에서 확인할 수 있는 파티션에 대해서만 볼륨섀도를 보여준다. 이미지파일을 일반적인 방법으로 마운트하면 확인할 수 없고caching 설정을 해줘야 한다. Encase에서는 이미지 혹은 파티션 우클릭 후Device->Share->Mount as Emulated Disk Disable caching을 unchecked하고 저장할 cache 경로를 지정하면 됨 FTK imager에서도 마찬가지로 writable 설정하고 캐시 경로를 지정해주.. 더보기 이전 1 다음
