Forensic 증거분석하기 전

증거 분석하기전에 해야하는 작업으로 포렌식 절차에서 증거 PC하드디스크를 디스크 복사기에 넣고 공 하드에 섹터 그대로 옮긴 후 해당 옮겨진 데이터를 가진 증거 사본 하드디스크를 분석하기 전에 해당 하드디스크와 원본 하드디스크의 SHA 해시, md5 해시를비교해서 같은 후 Read-Only 상태로 분석을 시작해야 한다.

증거 분석 방식에는 두가지 방식이 존재하는데 

1) 사본 HDD를 마운트 시켜서 분석하는 방법

2) 사본 HDD를 또 한번 이미지로 떠서 이미지 파일 자체로 분석하는 방법이 있다.

HDD RPM 속도에 의해 속도가 달라지기 때문에 본인 HDD가 SSD(시바 속도 돋네)라면 이미지로 떠서 분석하는게 초당 평균 120MB/s로 분석이 가능하다.

가장 첫번째로 해야할 디스크 해시값 검증 But white hat같은 경우에는 원본이 없는 관계로 디스크 해시값 검증은 불가능 

그러나 해시값 떳다는건 필수로 알려야함