1) 증거 획득
- 디스크 이미징: 디스크 데이터를 파일 형태로 추출하는 것
- 디스크 마운트: 이미징한 파일을 분석 컴퓨터에 마운트하는 것
- 메모리 덤프: 메모리를 캡쳐하여 파일로 저장하는 것 → 주로 전원이 켜져 있는 상태의 기기 수사
2) 사용 도구
- HxD
- 파일 Hex 값 뷰어
- Everything
- 빠른 컴퓨터 파일 탐색
- 7zip or 반디집
- 압축 프로그램: 다양한 형식 지원
- notepad++
- 문서 작성 프로그램
- sysinternal suite
- 도구 모음: strings, procexcp, procmon 등
- ftk imager
- 디스크 이미징, 마운트, 이미지 분석
- autopsy
- 디스크 이미징 & 분석을 위한 추가 기능
3) Autopsy
Autopsy로 이미지 로드
Views 탭에서 파일 타입별 자동 분류 : 파일 포멧, 삭제 여부 등
Results/Keyword: 이메일 처럼 특정 형태를 가진 키워드를 따로 분류
