FTK Imager 알아보기 2

FTK Imager에서 메모리 캡쳐 하기 

FTK Imager기능 중에서 메모리 캡쳐기능이있다.

먼저

메모리 칩같이 생긴 것을 클릭한다. 클릭을 하면 

이창이 나오는데 메모리 캡쳐가 되면 수집된 파일을 저장할 목적지 경로를 설정 하는 곳이다.

경로를 설정하고 Capture Memory를 이용하여 캡쳐를 시작한다.

이는 또한 옵션으로 Pagefile.sys 파일을 포함하고 AD1증거 파일 형식으로 만들 수 있다.

윈도우 상에서는 실행중인 레지스트리 파일을 복사하거나 저장할 수 없다. 이경우 FTK를 이용하여 보호된 레지스터를 얻고, 복사할 레코드를 얻을 수 있다.

메뉴바에서 표시된 것을 클릭하면 

이러한 창이 뜨는데 이창에서는 얻어낸 파일을 저장할 폴더를 정해 주는 것이다.

선택항목은 암호를 복구할 것인지 전체 레지스트리를 복구할 것인지를 선택하는 것이다.

FTK중 한기능인 EFS 암호화 검출 기능인데 

드라이브나 이미지의 암호화된 데이터를 점검할 수 있다. 이는 증거를 스캔하고 암호화된 파일이 있으면 알려주는 기능을 한다. 

열쇠 모양을 클릭하면 

이러하게 암호화 된파일이 있는지 스캔을 한다.