ENCASE 썸네일형 리스트형 volume shadow 분석 using Encase vss_examiner vss_examiner는https://www.guidancesoftware.com/app/VSS-Examiner 에서 다운받을 수 있음 Encase에서 Physical Disk Emulator (PDE) 로 마운트한 후에 vss_examiner를 사용해야 한다. 이 script는 볼륨 섀도를 마운트 시키고 사용자가 지정해놓은 condition에 따라 파일을 추출하는 프로그램이다.추가로 hash library 처럼 hash 기반 파일 서칭 기능을 제공한다. condition은 일반적으로 사용하는 encase condition과 거의 흡사한데, 속성 중 이름, 확장자, 경로, 크기만 설정할 수 있다.조건에 맞는 파일들을 논리적 이미지 L01로 생성하고 이를 인케이스에서 열어서 확인할 수 있다. 더 자세한 정.. 더보기 이미지 파일에서 볼륨섀도카피(Volume Shadow Copy) 분석 볼륨섀도의 포렌식 의미나 분석의 가치 등등은 구글링하면 국문으로도 확인할 수 있는 사이트가 많으므로 여기서는 패스하고..보통 난 분석할 때 ShadowExplorer를 사용한다. gui라서 보기 편해서 애용함 어차피 vssadmin 기반으로 만들어져서 vssadmin list에서 확인할 수 있는 파티션에 대해서만 볼륨섀도를 보여준다. 이미지파일을 일반적인 방법으로 마운트하면 확인할 수 없고caching 설정을 해줘야 한다. Encase에서는 이미지 혹은 파티션 우클릭 후Device->Share->Mount as Emulated Disk Disable caching을 unchecked하고 저장할 cache 경로를 지정하면 됨 FTK imager에서도 마찬가지로 writable 설정하고 캐시 경로를 지정해주.. 더보기 이전 1 다음
