디스크 쓰기 방지 설정[레지스트리 수정]

[논리적 쓰기방지 방법] -> 레지스트리 수정 방법

실행 -> regedit 실행

가. 레지스트리 수정 - NTFS파일시스템(Win7) 레지스트리 수정       

Key: HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

Name : WriteProtect

Value : 0x00000000(쓰기방지 해제), 0x00000001(쓰기방지 설정) Dword 생성

* HKLM(HKEY_LOCAL_MACHINE)

값이 1이면 쓰기 금지, 0이면 쓰기 허용

[DISKPART 명령어로 쓰기 금지 활성화 되어있는지 확인 방법]

cmd에서 diskpart 를 실행(관리자 권한으로 실행)

> list disk 로 디스크 확인

> select disk 1 으로 해당 드라이브로 이동

> attributes disk 명령어를 입력하면 현재 읽기 전용 상태에 : 예 로 표시가 된다.

그리고 예를 들어 사진을 하나 복사하려고 하면 다음과 같은 경고창이 뜰 것이다.

포렌식 수사를 진행할때 USB안에 데이터를 임의로 쓰거나 하게 되면 데이터의 시간이나

일부가 변경되므로 증거로 사용할 수 없게 된다.

따라서 무결성을 위해서 쓰기방지를 하고 수사를 진행하는 것이 좋다.