MAGNET Axiom - User Guide (Korean) #10 이미징 드라이브
[ Magnet Axiom Process ]
(Reference : Magnet Axiom Korean User Guide) // Thanks Magnet Forensics Company!
참고 ) 본 Magnet Axiom Korean User Guide를 참고해도 된다고 허락을 구했습니다!
드라이브를 이미징할 때 4가지 고유한 이미징 옵션을 선택할 수 있습니다.
선택한 옵션에는 시간 범위와 찾고 있는 데이터 유형이 반영되어야 합니다.
- 전체 원시 - 드라이브의 전체 내용 옵션
- 드라이브의 실제 이미지를 나타냅니다.
- 이러한 유형의 인식을 수행하는 동안, Manget AXIOM Process는 드라이브의 전체 콘텐츠를 단일 .raw 파일에 복사합니다.
- 이 옵션은 일반적으로 가장 오래 걸립니다.
- 전체 E01 - 드라이브의 전체 내용 옵션
- 드라이브의 실제 이미지를 나타냅니다.
- 이러한 유형의 인식을 수행하는 동안, Magnet AXIOM Process는 드라이브의 전체 콘텐츠를 단일 .E01 파일에 복사합니다.
- 이 옵션은 일반적으로 가장 오래 걸립니다.
- 전체 - 모든 파일 및 폴더 옵션
- 모든 파일 및 폴더가 포함 된 논리 이미지를 나타냅니다.
- 이러한 유형의 인식을 수행하는 동안, Magnet AXIOM Process는 모든 파일 및 폴더를 압축된 단일 파일에 복사합니다.
- 삭제된 파일 및 콘텐츠는 포함되지 않습니다.
- 빠른 - 대상이 지정된 수집 옵션
- 포렌식 분석에 중요한 파일이 포함된 논리적 이미지입니다.
- 이러한 유형의 인식을 수행하는 동안, Magnet AXIOM Processs는 시스템 파일, 사용자 프로필등을 압축된 단일 파일에 복사합니다.
- Manget AXIOM Process가 목표로 하는 위치는 일반적으로 증거가 있을 가능성이 가장 높은 위치입니다.
- 일반적으로 이 옵션이 가장 빠릅니다.
[ 지원되는 드라이브 ]
Magnet AXIOM Process가 컴퓨터에 물리적으로 연결된 다양한 유형의 외장 드라이브 (HDD, SSD, USB 및 SD 플래시 드라이브 등)에서 이미지를 얻을 수 있습니다.
Windows, OS X 및 Linux가 모두 지원됩니다.
참고: Magnet AXIOM Process는 네트워크를 통해 NAS(Network Attached Storage) 장치를 감지하고 이미지를 만들 수 없습니다.
Magnet AXIOM을 실행 중인 컴퓨터가 USB 케이블을 통해 NAS에 직접 연결되면, 장치 및 이미징 작업 감지가 이루어집니다.
| 이미지 유형 | OS | 증거 |
| 드라이브의 전체 콘텐츠 | Windows, Linux, OS X | 전체 드라이브의 실제 이미지 |
| 모든 파일 및 폴더 | Windows, Linux, OS X |
모든 파일과 폴더를 포함하는 완전하고 논리적인 파일 시스템 이미지. 삭제된 파일 및 콘텐츠는 포함하지 않습니다. |
| 대상이 지정된 인식 | Windows |
Pagefile, Hibernation File, Master File Table, USN Journal, |
| Linux |
System logs, home, sleep images, tmp, etc, 및 usr |
|
| OS X |
System logs, home, sleep images, tmp, etc, 및 usr |
일단 여기서 마치고 다음 포스팅에서 이어가겠습니다.
다른 추가적인 문의나 오탈자는 댓글에 남겨주시면 감사하겠습니다. :)
다음 포스팅은 휘발성 프레임 워크를 사용하여 메모리 스캐닝에서 다뤄보도록 하겠습니다.