기본 조사 Evidence File : BParker.E01, CBarrow.E01

각 증거 이미지별 기본 항목을 조사한다. 1. 디스크에 설치된 운영체제를 조사한다. 2. 운영체제에 생성되었던 사용자 계정을 조사한다. 3. 사용자 계정별 SID를 조사한다. 4. 설정된 Timezone setting값을 조사한다. 5. 가장 마지막으로 로그온한 사용자 계정과 로그온 시간을 조사한다. 2개의 Evidence File, BParker.E01, CBarrow.E01 에 대한 조사이므로 Parker's HDD 와 Clyde's HDD 를 선택하고 Process 기능을 실행한다. EnCase Processor Options pane 가 나타난다. Option 을 선택하고 하단에 OK 를 클릭한다. Processing 작업이 완료되면 Records page 에서 작업된 결과를 확인할 수 있다. C..

2016.02.23