AXIOM Process で対象デバイスの証拠処理を行う際に表示される、”Full” と “Sector level” の違いがわかりません。証拠デバイスの全領域を対象に、可能な限り多くのデータを解析したい場合、どちらを選べば良いでしょうか？

選択項目に詳細が表示さないため、違いが分かりにくくなっています。

Sector level では、ファイルシステムの解析を行わず、データをセクター内のビットごとに処理します。

AXIOM Process が対応するファイルシステムのドライブを解析対象とする場合、「Full」を選択した方がより多くのデータが解析可能です。通常は「Full」をご選択ください。

• 「Full」では、ドライブもしくはイメージの全領域を対象にアーティファクトを検索します。この際、ファイルシステムの解析も併せて行うため、対象ファイルが断片化している場合でもファイルを正しく認識して処理することが可能です。
• 「Sector level」では、ドライブもしくはイメージの先頭から順にデータを読み込み、カービング可能なアーティファクトを検索します。Full と同様、全領域を対象としますが使用されるファイルシステムを認識せずに動作します。そのため、対象ファイルが断片化している場合は処理が不正確・不完全になる可能性があります。
  (例えば、画像ファイルに含まれない領域が画像ファイルの一部として解析処理され、画像が部分的にしか表示できなかったり、圧縮ファイルの一部だけが抽出されたりすることがあります)

※ 未対応のファイルシステムを持つドライブの解析や、一部に暗号化等が施され復号が行えない領域がある場合、一部が欠損したドライブから可能な限りデータを再構築したい場合は、「Sector level」での解析が有効です。