디지털 포렌식 - imaging
복제본 만들기
regedit으로 logical write blocking 설정
- 복제본 만들기에 앞서 증거(원본)이 훼손되는 것을 방지하기 위해 Write Block 설정을 해야함
- 실행창에서 regedit 실행
- \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ 경로에 StorageDevicePolies 새로 만들기
- DWORD(32비트)로 WriteProtect 만들어서 값 1로 변경
FTK imager 사용해서 file imaging
- create disk
- 파일 선택
- add > e01 선택
- start
Hashing
- 원본과 사본의 동일함을 입증
- 무결성 : 압수 -> 공판 전까지 입증
hashmyfiles 활용 해쉬 실습
- 10개의 파일의 해쉬를 확인
- hash가 같은 파일 존재
- 어느게 진짜인지 판단하기 위해 실행,, 하는 방법도 좋겠지만
- HxD 를 활용해서 raw파일 확인 ㄱㄱ
- 2번과 7번 중 어느게 진짜?
- 7번 docx이고 파일 시그니쳐 PK : 진짜 파일일 확률 높음
- 2번은 .jpg 파일인데 file 시그니쳐가 PK로 되어있음 확장자만 바꾼 것.
Autopsy 활용 Hash Set 분석
- new case
댓글남기기