2. EnCase (with Image Mount Pro)를 이용한 실습
(1) Mount Image Pro를 이용한 Raw Image 마운트
- Mount Image Pro를 실행하여 File -> Mount 를 클릭한다.
- D드라이브의 05.raw 파일을 Mount한다.
- Mount가 완료되었다.
(2) EnCase 실행
- EnCase를 실행하여 File -> New를 클릭한다.
- Case Options를 설정한다.
(3) 장치 추가
- Add Device를 클릭하여 Local Drives를 선택한다.
- Mount한 드라이브(E드라이브)를 선택한다.
(4) 수집 이미지 불러오기 완료
- 위의 그림과 같이 파일 목록이 나타나게 된다.
※ 파일 목록의 분류
- 05.raw 이미지에는 총 60가지의 항목이 있다.
(1) 기본 시스템 파일
- 위의 항목들은 시스템의 기본적인 파일을 나타내는 것 같다.
(2) Folder/Deleted/Overwritten 항목
- 이미 삭제되어, Overwritten된 폴더들의 항목이다.
(3) Folder/Deleted 항목
- 이미 삭제된 폴더이지만, Overwritten되지 않은 폴더들의 항목이다.
(4) 실제 존재하고 있는 폴더 항목
- 삭제되지 않고 현재 존재하고 있는 폴더이다.
(5) Unalocated Clusters 파일 항목
(6) Invalid Cluster/ Archive 파일 항목
- ‘Archive'가 무엇을 의미하는지는 정확히 모르지만 추출할 수 있다는 뜻인 것 같다.
(7) Invalid Cluster 파일 항목
- (6)번과 달리 Archive가 뜨지 않는 항목이다.
(8) File/Deleted/Overwritten/Hidden/System 항목
- 삭제되어서 Overwritten된 파일이다. 숨김 파일인 것 같고, 시스템 파일인 것으로 보인다.
(9) File/Deleted/Overwritten/Archive 항목
- 삭제되었고, Overwritten되었으며, Archive한 파일이다.
(10) File/Deleted/Overwritten 항목
- 삭제되었고, Overwritten되어진 파일이다.
(11) File/Deleted/Archive 항목
- 삭제되었고, Archive한 파일들의 항목이다. Overwritten은 되지 않았다.
(12) File/Deleted 항목
- 삭제된 파일들의 항목이다.
(13) File/Archive 항목
- 삭제되지 않은, 존재하고 있는 파일이다.
(5) 파일의 추출
(1) 먼저 존재하는 파일을 추출한다. Copy/UnErase를 클릭하고, 저장 경로를 설정하여 파일을 추출한다.
- 위의 그림과 같이 파일이 추출되었다.
(2) 삭제된 파일들을 추출해본다. 여기서는 우선 삭제되었지만 Overwritten되지 않은 파일들을 우선 추출해본다. 총 36개의 항목을 추출한다.
- 위의 그림과 같이 파일들이 복구되었다.
- 위의 그림과 같이 삭제되었던 파일이 복구되어 정상적인 파일이 되었다. 그러나 깨진 파일도 몇 개 있었다.