EnCase 가 많이 쓰이는 이유는 경찰기관에서 상당히 많이 쓰기 때문이다. EnCase v6 부터 국내에 들어 왔고, 국내에 제일 많이 들어온 Version 이다. EnCase v7 새로운 기능 ​ 사용자에게 직관적인 분석이 용이한 GUI 제공 Evidence Cache 기능을 통해 Case 처리 시간 다축 Indexing 엔진의 효율 증가로 검색 기능 향상 사용자가 수정 가능한 보고서 템플릿 기능 추가 스마트폰 분석 기능 제공 파일시스템 분석 추가 지원(Ext4, HFSX, Microsoft@2010..) EnCase Decryption Suite(ED5) Module EnCase Physical Disk Emulation(PDE) Module EnCase Virtual File System(VFS)..

FTK Imager 는 액세스데이터 웹사이트에서 다운로드 가능한 무료 툴로, 주로 디지털 미디어를 수집하는 데 사용한다. 이 툴은 수집된 데이터 무결성 보장을 위해 비트 단위 또는 비트 스트림으로 알려진 정확한 복사본(포렌식 이미지)을 생성한다. FTK Imager 는 강력한 툴이지만 무료로 제공된다. 여러 기능과 더불어 데이터 사전 분석, 정보 검색 RAM 같은 휘발성 데이터 수집이 가능하다. http://www.accessdata.com/support/product-downloads 에서 FTK Imager 와 기타 제품들을 다운로드 할 수 있다. 디지털 기기 수집 과정을 이해하고, 요구 사항을 가장 충족할 수 있는 포렌식 이미지를 생성하여 FTK Imager 를 이용한 증거 처리 작업에 대해 알아보..

FTK 는 정보 보호, 정보 기술, 법 집행 분야에 근무하는 전문가의 작업 지원을 위해 개발된 완벽한 디지털 조사 플랫폼이다. 필터와 인덱싱 엔진에 사용된 혁신적인 기술로, 사건 조사와 관련된 증거에 빠르게 접근할 수 있고, 분석 시간을 매우 단축시킬 수 있다. 디지털 포렌식 조사는 다음 절차를 따른다. ㅇ 준비 ㅇ 수집과 보존 ㅇ 분석 ㅇ 보고서와 제출 컴퓨터 포렌식 툴은 하드 드라이브 용량 증가에 따른 주소 문제와 데이터 수집 및 분석 시간을 줄이기 위한 암호화 사용 같은 문제를 해결하기 위해 지속적인 업데이트가 필요하다. AccessData 에서는 다음과 같은 두 가지 버전을 제공한다. FTK 포렌식 - FTK 포렌식은 컴퓨터 하드 드라이버, USB 드라이버, 플래시 메모리 장치, 스마트폰 태블릿 ..

컴퓨터 포렌식 분석관은 주로 증거가 될 수 있는 데이터가 저장된 매체를 다룬다. 주로 하드 디스크와 CD와 DVD, 플래시 메모리 장치, 스마트폰, 태블릿, 그리고 예전에 사용하던 플로피 디스크와 테이프가 주를 이루지만 이에 국한되지는 않는다. 이런 다양한 장비들이 분석관을 힘들게 하겠지만 매체장치는 독립적으로 동작할 수 없기 때문에, 분석관은 컴퓨터의 다양한 구성 부품과 기능에 대한 지식을 반드시 갖춰야 한다. 분석관은 배심원들에게 컴퓨터가 어떻게 동작하는지 설명하기 위해 법원으로부터 법정 출석 요구를 받을 수 있다. 이런 일을 대비해 분석관은 기술적인 관점에서 컴퓨터의 기능을 알고 이썽야 하며, 그 기술적인 개념을 실생활에서 쉽게 이해할 수 있는 용어로 바꾸어 말할 수 있어야 하고 상대방 변호사가 해..

3. 하드 드라이브 레이아웃 ​ (1) 마스터 부트 레코드 : Master Boot Record 물리적 디스크의 첫 번째 섹터(절대 섹터 0 번)를 마스터 부트 레코드(Master Boot Record : MBR) 이라고 한다. 이 영여겡는 파티션 테이블과 운영 체제를 찾아주는 기계어 코드가 저장된다. 컴퓨터를 켤 때 컴퓨터가 처음 수행하는 작업이 이 기계어 코드를 찾아서 메모리로 로딩하고 실행하는 것이다. 이 "부트 코드" 에는 매우 간단한 작업이 포함되어 있다. 0 번 섹터의 끝에서 파티션 테이블을 읽어서, 디스크 레이아웃을 결정하고 어느 파티션에 부팅 가능한 운영 체제가 설치되어 있는 지도 결정한다. (2) 파티션 테이블 파티션 테이블에는 처음 4개의 파티션에 대한 정보가 저장되며, 디스크 상에서 ..

2. 하드 드라이브 구조 ​ (1) 드라이브 기하 구조(Drive Geometry) 물리적 드리아브는 일반적으로 빠르게 회전하는 플래터 몇 장으로 구성되며, 플래터의 양쪽 면에는 읽기/ 쓰기 헤드 집합이 있다. 각 플래터는 트랙이라고 하는 동심원의 집합으로 구성되어 있다. 각 섹터는 바이트의 집합으로 구성된다. 이러한 플래터, 섹터, 트랙의 개수와 위치를 드라이브 기하 구조라고 부른다. ​ (2) 실린더(Cylinder) 실린더는 트랙과 마찬가지로 논리적인 용어이며, 하드웨어의 물리적인 부분을 뜻하는 말이 아니다. 즉, 디스크 드라이브를 물리적으로 열어서 "실린더"를 찾아 볼 수 없다는 뜻이다. 실린더는 여러 장의 플래터의 양쪽 면에서 헤드의 위치가 동일한 트랙의 집합을 뜻한다. 즉 가상으로는 원(플래터..