디스크 이미징

Dital Fensics

 

디스크 이미지는 기록 미디어 안에 있는 내용이 저장된 파일을 가리킨다.

 

디스크 이미징이란, 디스크를 파일의 형태로 가져오는 것을 말한다. 디스크를 분석하기 위해서는 파일의 형태로 존재해야 하므로 디스크 이미징을 수행한다.

 

FTK Imager

FTK는 통합 포렌식 도구로, 윈도우 환경에서 실행 가능하다.포렌식의 가장 기본이 되는 도구로, 디스크 이미징 작업에 활용된다.

 

FTK IMAGER는 FTK Tookit의 구성 요소로, 이미지 사본 생성 도구이다.디지털 포렌식을 할 때, USB나 HDD 같은 매체의 무결성을 위해 원본으로 조사를 하지 않고 사본 이미지를 만들어서 조사를 하게 되는데 이 때 필요한 도구이다. 더불어 삭제된 데이터를 복원하는 기능도 있다.

 

준비물

- FTK Imager

- USB 또는 HDD

FTK Imager 시작 화면

• FTK Imager의 파일은 댓글로 이메일 알려주시면 보내드리겠습니다.

 

Create Disk Image

1. 이미징을 위해 좌측 상단에 Create Disk Image를 클릭한다.

 

2. Pysical Drive를 선택 한다.

   눌러주면 내 컴퓨터에 어떤 드라이브가 있는지 목록이 나온다.

3. 그 중에 기가바이트가 적은걸 선택해 시간을 단축해준다.

   선택했으면 Finish를 눌러주고

4. Image Destination에서 ADD를 선택해 이미지 타입을 선택해준다.

5. 주로 RAW 또는 E01을 많이 사용하는데 E01은 조금 더 압축된 포맷이다.

   그래서 우린 E01을 사용할 것이다.

6. Case Number는 실제 수사할 때 사용하는 것인데 난 사용을 안할 것이다.

7. 다음을 누른 후 image Destination Folder를 선택해주고 Filename을 임이로 지정해준다.

   또한 image Fragment Size를 0으로 함으로 do not fragment 상태를 만들어준다.

   do not fragment는 이미지 파일을 쪼개서 저장하지 않겠다라는 의미이다.

start를 해준다.

아마 굉장히 오래걸릴 것이다.

여기서 usb가 필요하다는 이유는 윈도우 기준으로 c드라이브를 이미징 하고자 한다면 image destination folder를 다른 드라이브로 지정을 하여야 한다.

그렇기에 소용량 usb를 사용하여 이미징을 해주고 그걸 c드라이브로 destination folder를 지정하는 것이 효율적이다.