020  FTK와 EnCase를 활용한 디지털 포렌식 실무

                                          그림 2.3? Evidence 추가를 위한 선택 옵션

     그림 2.3에서와 같이 Evidence 추가를 위해 선택할 수 있는 옵션은 “Physical Drive”,
     “Logical Drive”, “Image File”, “Contents of a Folder”로 총 4가지가 있는 것을 확인할
     수 있다. 이러한 옵션 중 가장 많이 사용되는 옵션은 첫 번째 옵션인 “Physical Dive”이
     며, 이 옵션은 현재 장치에서 물리적으로 연결된 드라이브를 Evidence에 추가하기 위
     해 사용하는 옵션이다. 그다음으로 많이 사용되는 옵션은 “Logical Drive”이며, 논리적
     드라이브를 추가하기 위한 옵션이다.

     가장 많이 사용하는 옵션 “Physical Drive”에 대해 좀 더 설명하자면 다음과 같이 설명
     할 수 있다. 그 전에 물리 드라이브에 대한 예를 통해 물리 드라이브에 대해 이해해보
     도록 한다. 물리 드라이브는 PC에서 메인보드와 직접적으로 연결된 드라이브를 말한
     다. 즉, 일반적으로 많이 사용하는 개인용 데스크탑 기준으로 SSD나 하드디스크를 주
     로 메인 디스크로 많이 사용한다. 이때 메인 디스크들은 기본적으로 설치하여 사용하
     는 운영체제인 윈도우(Windows OS)에서 기본적인 드라이브 명을 “C:”로 인식하는데
     이렇게 하나의 물리 드라이브에 부여된 하나의 드라이브 명의 드라이브를 물리 드라이
     브라고 말한다. 이에 반해 논리 드라이브의 경우는 하나의 물리적 디스크의 용량을 분
     배하여 실제로는 하나의 물리적인 디스크만 설치되어 있지만 “C:”와 “D:” 두 개의 드라