전공 공부/디지털 포렌식 썸네일형 리스트형 FTK-Forensic_Toolkit-1.81.6을 활용한 분석 FTK-Forensic_Toolkit-1.81.6 활용해서 이미지 파일을 분석해 보도록 하겠습니다. 파일이 저장 될 경로를 지정해 줍니다. 기업 정보와 이름을 입력해 줍니다. Data crave 를 체크해 줍니다. Add Evidence 를 클릭하여 분석할 이미지 파일을 추가 메뉴로 이동합니다. 분석할 이미지를 추가 시켜준 뒤 OK을 눌러줍니다. 마지막으로 최종 설정들을 체크 할 수 있습니다. 마침을 눌러 분석을 시작해주겠습니다. 자동으로 분석을 시작해 줍니다. 컴퓨터 성능과 이미지 파일에 따라 분석시간이 다르게 소요됩니다. 파일 정보들을 한눈에 보기 쉽게 요약해 줍니다. 이메일 정보 또한 살펴볼 수 잇습니다. explore 형태로도 볼 수 있습니다. 더보기 디지털 포렌식 시나리오 연습 포렌식 시나리오 - USB를 발견하였으나, 컴퓨터가 인식하지 못하였다. USB를 복구하여 증거를 찾아라. 1. USB 확인하기 해당 연습용 파일을 FTK Imager를 사용하여 열었더니, 인식할 수 없었습니다. 2. USB 파티션 복구하기 도구 => 디스크 이미지 열기를 선택하여 이미지를 선택해서 열어주면 섹터 크기를 지정할 수 있습니다. HxD 헥스에디터를 사용해 이미지 파일을 열었습니다. 이 이미지는 DOS 파티션을 사용하고 있습니다. 1번 영역은 총 446Byte 크기로 Boot Code 영역으로 사용되고 있습니다. 2번 영역은 총 64Byte 크기로 Partition Table 영역으로 사용되고 있습니다. 3번 영역은 총 2Byte 크기로 MBR Signature로 사용되고 있습니다. (55 AA.. 더보기 FTK Imager 로 USB 파일 복구하기 FTK Imager를 미리 설치해 놓습니다. 1. FTK Imager 로 USB 파일 복구하기 먼저 실험에 쓰일 USB와 파일들을 준비해놓습니다. 복구를 위해서 파일들을 삭제 해 줍니다. FTK Imager를 실행시켜서 file => Create Disk Image를 선택해 줍니다. Pysical Drive => 복구하려는 USB를 선택해 준 뒤 finish 를 선택해줍니다. Add... 를 누른 다음 E01을 클릭하고 다음을 누릅니다. 저장할 이미지에 대한 정보들을 입력해준 뒤 저장 경로를 지정한 다음 Finish를 선택해줍니다. Start를 누르면 이미지 디스크를 만들기 시작합니다. 컴퓨터 성능과 USB 용량에 따라 이미지 만드는 시간이 다를 수 있습니다. 이미지 생성 및 검증이 되면 다음과 같이 화.. 더보기 이전 1 다음
