포렌식 도구의 종류(이미지 생성 및 분석)
포렌식 도구는 다양하게 있지만 위의 세 개의 도구가 주로 사용된다.
FTK Imager
FTK Imager는 사본 이미지 생성 전용 프로그램으로 증거매체를 연결하여 사본 이미지를 생성하는 데 사용된다.
증거 매체 및 사본 이미지를 간략하게 확인할 수 있지만 시그니처, 삭제된 파일의 복구 등 전문 분석은 한계가 있어서 따로 분석 전용 프로그램을 사용해야 한다. 또한 Encase와는 다르게 쓰기방지 프로그램을 제공하지 않기 때문에 이미지 생성 전 Encase, FastBloc SE, 레지스트리 수정 등을 통해서 별도의 쓰기 방지를 실시해야 한다.
Encase
전 세계적으로 가장 많이 사용되는 신뢰도 높은 디지털 포렌식 프로그램이다.
FTK Imager와는 다르게 이미지 생성과 분석을 하나의 프로그램에서 처리가 가능하다. 또한 프로그램 자체에 소프트웨어적인 쓰기 방지 프로그램이 포함되어 있다. 다만, 매우 높은 가격 때문에 일반 사용자는 접근하기 쉽지 않다.
Autopsy
오픈소스 기반 분석 전용 무료 디지털 포렌식 프로그램이다. Encase에 비해 상대적으로 직관적은 UI를 가지고 있으며, 무료임에도 높은 신뢰성과 강력한 분석 기능을 제공하고 있다.
