반응형
우리는 활성데이터 수집을 위하여 FPLIVE_win파일을 이용할 것이다.
※ 활성데이터 : 전원이 켜진 기기에 대한 증거를 수집하는 데이터(휘발성)
일단 FPLIVE_win-v1.1.zip 파일을 압축해제한다.
그 후 cmd 창을 켜 FPLive_win.bat 파일이 설치된 경로로 들어간다.
그 후 FPLive_win.bat 파일을 실행하면
다음과 같이 4가지를 입력하라고 나오는데
1. case name : 활성 메모리를 저장할 폴더명
2. examiner's name : 활성 메모리 수집자 이름
3. 물리 메모리 덤프 : y 입력
4. 비 휘발성 데이터 수집 : 우리는 활성 데이터만 수집하기에 n으로 설정했다.
엔터를 입력하면
다음과 같이 나오면서 먼가 엄청많이 나온다.
그 후
WOW, Successfully finished !!라는 메시지가 뜨면 활성데이터를 수집 완료한거다.
(나 같은 경우 dll 파일이 없어 에러가 발생하긴했지만 그냥 확인 누르면 수집은 된다.)
이제 test 파일이 설치된 경로를 들어가보면(C:\test)
case 폴더안에 활성데이터들이 수집되어 있는것을 확인할 수 있다.
반응형