쓰기방지, 이미징

1. 쓰기방지

1) 레지스트리 이용
Key: HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies 
Name : WriteProtect 
Value : 0x00000000(쓰기방지 해제), 0x00000001(쓰기방지 설정) Dword(32비트) 생성

Registry write protected

2) EnCase 이용
EnCase 실행 -> Tools 탭의 FastBloc SE 클릭 -> Write Protected 또는 Write Blocked 모드 선택한 후 USB 삽입
Write Protected: 디스크 쓰기 시 경고 메시지 표시
Write Blocked: 디스크 쓰기 시 정상적으로 쓰기 된 것처럼 보이나 USB를 뺏다가 다시 껴보면 쓰기가 안 되어있음. 

2. 이미징

1) Encase(2순위)
EnCase 실행 -> Case 생성 -> Evidence 추가 -> Entries 우 클릭 후 Acquire 클릭 -> File format은 Current(암호화 지원) 또는 Legacy(암호화 미지원) -> Hash와 File Segment Size 설정 후 이미징 실행

2) FTK Imager(1순위)
FTK Imager 실행 후 Evidence 추가 -> 추가한 디스크 우 클릭 후 Export Disk Image 클릭 -> verify images after they are created 체크 해제 -> File format과 File Segment Size 설정 후 이미징 실행

FTK Imager

+) 쓰기방지, 이미징 후 분석 EnCase, FTK 이용하여 분석하자.(강의를 듣거나 시험후기를 보면 결국엔 Encase가 답인 것 같다. Encase 사용법을 확실히 숙지하고 가야할 것 같다.)