반응형
1. 윈도우 디펜더 해제
윈도우 7부터 기본으로 설치되어 있는 안티 바이러스이 윈도우 디펜더가 파일을 검사하면 액세스 시간이 변경된다. 그리고, 악성코드라고 확정한 파일에 대해서 기본적으로 삭제조치를 한다. 그러므로, USB 연결 전에 윈도우 디펜더를 해제한다.
[실행 -> gpedit.msc -> 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Windows Defender 바이러스 백신 -> Windows Defender 바이러스 백신 사용 안함]
2. 쓰기 방지
- 윈도우 디펜더 비활성화(다른 백신이 있으면 백신 비활성화) -> 쓰기 방지 설정후에 디스크 이미징 작업을 한다.
- 레지스트리 또는 도구에서 지원하는 기능 택 1
※개인적으로 KFOLT가 편함
2.1 레지스트리 설정
(디지털포렌식 전문가 2급 책 p.151)
HKLM -> System -> CurrentControlSet -> Control에서 StorageDevicePolicies 키 생성
2.2 KFOLT
KFOLT에서 쓰기방지를 클릭하면 옵션을 설정할 장치 목록이 나온다. 시험에서는 USB를 [ON]을 한다.
참고자료
반응형
'전공영역 공부 기록' 카테고리의 다른 글
| 04. 이미지 데이터의 메타데이터 (0) | 2019.06.24 |
|---|---|
| 03. KFOLT 해시 분석 (2) | 2019.06.24 |
| 디지털 포렌식 2급 실기 - 실습 문제 1번 풀이 (0) | 2019.06.24 |
| 00. 디지털포렌식 2급 실기 실습파일 다운로드 (0) | 2019.06.24 |
| 02. KFOLT 시그니처 분석 (0) | 2019.06.24 |