DF_m@ster

Write Protect디지털 포렌식에서는 쓰기 방지가 필수적인 요소이다. 이 기술은 증거로 사용되는 디스크의 데이터 이미징과 원본 데이터의 무결성을 유지하는 데 사용된다. 원본 디지털 증거에 쓰기 방지를 적용하고 이미징 작업을 한 이후에, 원본 디지털 증거와 이미징된 디지털 증거의 해시 값으로 증거의 무결성를 입증함으로써, 디지털 증거가 법적 효력을 갖출 수 있게 된다.  Windows 레지스트리 Write Protect1. Win + r → regedit 검색 2. HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Control → StorageDevicePolicies (키 생성) - Control에서 "StorageDevicePolicies" 키 생성 3. ..

1. 기본 화면     2. New Case1. New Case → Case Information → Optional information - Case Information    Case Name: 해당 사건 분석 저장 디렉터리 이름    Base Directory: Autopsy 사건 분석 저장 디렉토리 경로        (C 드라이브를 제외한 드라이브 추천, 혹시 모를 재부팅으로부터 데이터 보호) - Optional information    Case, Examiner, Organization 생략 가능 2. Select Host - Generate new host name based on data source name: 기본 값 선택 3. Select Data Source Type분석할 디스크의 데..

1. 기본 화면     2. 파일 열기 및 디스크 이미지 파일 열기1. 파일  → 열기 - 일반 파일 열기 (섹터 구분 X) 2. 도구 → 디스크 이미지 열기 - 디스크 이미지 파일 열기 (섹터 구분 O)     3. 블록 선택 및 선택 영역 채우기1. 우클릭 → 블록 선택 → 시작 오프셋, 종료 오프셋 입력 → 영역 선택 됨 2. 우클릭 → 선택 영역 채우기 → 데이터 입력 → 데이터 입력 됨     4. 데이터 비교1. 분석 → 데이터 비교 → 비교 → 비교할 두 파일 경로 지정 → 비교 분석 됨     5. 메인 메모리 및 디스크 열기1. 도구 → 메인 메모리 열기 → 참조할 메모리 선택 2. 분석 → 디스크 열기 (관리자 권한 필요) → 참조할 디스크 선택      6. 데이터 검색 1. 찾기 →..

1. 기본 화면1. Evidence Tree: 디스크 증거를 트리구조로 제공2. File List: Evidence Tree에서 선택한 항목(파일, 폴더) 정보 제공3. Properties: Evidence Tree이나 File List에서 선택한 항목의 다양한 정보 제공 - 디스크: Cylinders (Pysical), Tracks per Cylinder (Pysical), Sector per Track (Pysical), Bytes per Sector, Sector Count - 파티션: Starting Sector, Sector Count - 파일 시스템: Cluster Size, Cluster Count4. Viewer: Evidence Tree이나 File List에서 선택한 항목의 Previe..