EnCase 2일차_증거물 추가_이미지 추가

음.....어제는 케이스를 만드는 것을 했으니 오늘은 evidence를 추가해보자!! 

케이스 생성을 하고나면 Evidence에서 Add Evidence를 하면 증거를 추가할 수 있다.

그 후 Add Local Device하면 지금 나의 장착되어 있는 디바이스들을 확인할 수 있다.

밑에 있는 Add Evidence File은 증거파일을 추가할 수 있으며, Raw Image는 말그대로 Raw Image를 넣는 것이다.

Acquire Smartphone같은 경우 스마트폰을 수집하는 기능을 사용할 수 있다. 

즉, 휴대용 수집 기능인 것같은데... EnCase7에서는 Portable이 따로 있는데 8버전부터는 합쳐진 것으로 알고 있다.

나의 작착되어 있는 디바이스 들을 보는데 2번째꺼를 체크하면 쓰기방지를 해놓은 것만 보이도록 하는 것이다. 

그리고 뭐 메모리도 같이 분석할것이냐 이런것들?콬코코코코콬코코콬

그 후 이것! 내 하드들 !!! 컼커컼ㅋ 여기서 분석할 것을 체크하면  분석을 준비할 것이다.

이렇게 C를 붙이면 뜨는데... Name에서 C를 클릭하면 밑에 오른쪽 하단에 Parsing MFT가 로딩되듯이 쭈욱간다. 저게 다되면 이제 아래와 같은 화면을 보여주는데 생각보다 시간이 걸릴 수도 있으니 기다리자.

근데. 여기서 궁금점이 생겼다. 왜! 해쉬값은 안나오는 것일까? 

공부하면서 알아보니 E01으로 추출을 할경우 이제 해쉬값도 같이 계산해서 알려주는 것이란다.

E01이 인케이스 전용 확장자로 쓰이고 있다. 그래서 추출할때 해쉬값도 같이 계산을 하는데 기본적으로 그냥 일반 dd이런 확장자를 이용하여 추출하면 해쉬값을 따로 계산하지 않는다. 그렇기 때문에 나타나지 않는다.

Parsing MFT가 끝나고 나면 이제 이렇게 보인다.

이제 쪼꿈씩 더자세히 작성해보도록하겠다.