반응형
FTK imager 로 사본 이미지를 생성시 디렉토리에 이미지 파일 외 csv, txt 파일이 생성된다.
[csv 파일 내용]
파일이름, 절대경로, 파일 사이즈(bytes), 생성 시간, 수정된 시간, 접근 시간, 삭제 유무가 엑셀파일로 되어있다.
실제 현장에서는 압수한 USB에서 피의자가 중요 파일을 삭제를 했는지 언제 생성되었고 언제 수정이 되었는지를 표에서 참조할 수 있을 것이다.
[txt 파일 내용]
txt파일의 내용은 FTK imager로 사본 이미지를 생성할때 입력했던 사건 번호, 사건 정보 같은 내용을 담고 있으며 물리적인 디스크의 모델, 일련 번호 같은 내용이 담겨져 있으며, 해시값 검증 결과 같은 것들이 담겨있다.
따라서 해당 내용들을 토대로 나중에 보고서를 쓸때 유용할 것이다.
반응형
'디지털포렌식 > 포렌식 도구' 카테고리의 다른 글
| Autopsy 케이스 생성 및 데이터 소스 추가 해보기 (1) | 2018.04.27 |
|---|---|
| Autopsy 4.3.0 이후 버전에서 Add Data Source가 실행되지 않는 문제(연구중) (2) | 2018.04.22 |
| Autopsy 설치하기 (0) | 2018.04.20 |
| Autopsy란 무엇인가? (0) | 2018.01.18 |
| FTK imager로 디스크 이미지 사본 생성하기 (0) | 2017.12.05 |