EnCase v7 Picture File Analysis

Parker's HDD 에 존재하는 사진 파일을 찾아 보겠다.

 

Parker's HDD 에서 Home Plate Button 을 클릭하면 위와 같이 Parker's HDD 에 존재하는 하위 File 까지 확인할 수 있다. 현재 13015 개의 File 을 나타내주는 걸 확인할 수 있다.

​

Timeline 기능은 거의 사용하지 않는다. View 가 사용자 입장에서 보기가 불편하다. 그래서 어떨 때 이슈가 제일 많았었는지 확인만 할 때 사용하며 많이 사용하지는 않는다.

​

 

Gallery 기능을 제일 많이 사용한다. 흔히 말하는 사진 촬영의 이슈를 찾는다던지, 사진 촬영의 이슈가 크므로 여기서 확인한다.

사진이 많을 수 밖에 없으므로, 정말 운이 좋다면 원하는 사진은 금방 찾는다.

쿠키정보를 남기는 사진파일 도 있고, 그렇다 보니 찾아야 하는 사진 촬영을 빠르게 찾으려면 날짜 정보를 이용해야 한다. 또 다른 정보는 많다.

​

핸드폰 카메라에는 GPS 가 탑재된 카메라가 있는데 이 GPS 가 탑재된 카메라로 촬영을 했다면 해당 사진에 GPS 위치 정보, 촬영한 기종이 기록된다.

또 하나는 사진 파일의 크기를 이용할 수 있다. 해상도 때문에 사진 파일의 용량이 커지는건 어쩔 수 없다. 용량이 5MB 이상 넘어가는건 이 Gallery 기능에서 Logic Size 로 정렬을 해서 크기 위주로 정렬을 하여 확인할 수 있다.

​

정렬, 접근에 대해 생각해보면 시간을 줄일 수 있다. 문제는 사진을 지운 것이다.

사진을 지웠다면 Thumbnail 에서 Analysis 해야 한다.

 

상단 메뉴에서 View -> Records 기능을 실행한다.

 

Records - Parker's HDD -> Thumbnails -> Thumbnails 를 클릭한다.

Thumbnails 에서 Analysis 을 하면 삭제된 사진 파일을 확인할 수 있다. 아무리 지운 사진 파일이라도 여기 Thumbnails 에서 Analysis 을 통해 지워진 사진 파일을 획득할 수 있다.