디스크 파일

DD(RAW)

기본적으로 데이터를 추가 또는 삭제하지 않고 디스크 또는 볼륨의 RAW 데이터를 비트 단위 복사, 포렌식 도구를 사용하지 않을 때 사용되는 파일. 원본 데이터를 파일 형태로 변환만 해준다. 압축 X 파일 시스템이 조작되어 있다면 DD를 통해 분석을 진행한다.

E01

포렌식에서 가장 많이 쓰이는 포맷이다. 압축을 지원하기에 파일크기를 줄일 수 있다.

무결성을 보장하기 위해 MD5, SHA1 등의 해시를 사용할 수 있고 , 증거 파일 암호화를 위해 AES256암호화를 사용한다.

E02,E03 이렇게 늘어나면서 저장되는 포맷이다. 정상적인 파일 시슽메일 시 E01을 통해 필요한 파일만 뽑아낸다.

AD1

AccessData Frensics Toolkit(FTK)에서 사용되는 디스크 이미지 파일 형식. 디스크의 섹터 단위로 생성되며, 파일 시스템의 구조와 함께 디스크의 데이터를 보존한다. FTK같은 포렌식 도구를 사용하여 분석할 수 있다.

EX01

Encase forensic software에서 사용되는 디스크 이미지 파일 형식. Encase는 디지털 포렌식 분석에 사용되는 소프트웨어이다. AD1 파일과 마찬가지로 섹터 단위로 생성되며 , 디스크의 모든 데이터와 파일 시스템의 구조를 포함한다.