티스토리 뷰

Digital Forensics/디지털 포렌식 개론

디지털 포렌식 파일 포맷: DD, E01, Ex01, AD1 확장자

Noctis41 2025. 1. 14. 18:02

디지털 포렌식 파일 포맷: DD, E01, Ex01, AD1 확장자

디지털 포렌식 작업을 하다 보면 다양한 디스크 이미지 파일 포맷을 접하게 됩니다. 이 중에서도 DD, E01, Ex01, AD1 확장자는 각각의 특징과 용도가 달라서 상황에 맞게 선택적으로 사용해야 합니다. 이번 글에서는 이들 파일 포맷에 대해 쉽게 설명해 보겠습니다.

 

DD 파일

DD 파일이란?

DD 파일은 디스크 이미지를 생성하거나 데이터를 복사할 때 사용되는 원시 디스크 이미지 포맷입니다. 이 포맷은 리눅스의 dd라는 도구에서 이름을 따왔으며, 디스크 복구, 백업, 복제 등 다양한 작업에 활용됩니다.

DD 파일의 용도

  1. 디스크 이미지 생성
    • 하드 드라이브, USB 메모리, 메모리 카드 등 저장 장치의 데이터를 복사하여 이미지 파일로 보관할 때 사용됩니다.
    • 디스크 손상 시 복구 작업에 활용됩니다.
    • 디스크의 개별 섹터를 완전한 raw 레벨로 복제합니다.
  2. 범죄 수사 등의 디지털 포렌식
    • 원본 디스크의 정확한 복제본을 생성하여, 원본 데이터를 손상시키지 않고 분석 작업을 진행할 수 있습니다.
    • 삭제된 파일과 숨겨진 정보를 포함하고 있습니다.
    • Unix의 dd 유틸리티를 사용해 원본 이미지를 만듭니다.

DD 파일을 다루는 방법

  • 파티션 구조 분석: parted 명령어로 이미지를 분석해 파티션 정보를 확인합니다.
  • 이미지 탑재: 로컬 디렉터리에 DD 파일을 탑재해 데이터를 직접 확인할 수 있습니다.
 

E01 파일

E01 파일이란?

E01 파일은 디지털 포렌식에서 가장 널리 사용되는 디스크 이미지 포맷 중 하나로, EnCase 소프트웨어에서 처음 도입되었습니다. 단순한 데이터 복사본뿐만 아니라 메타 데이터와 압축, 암호화 기능을 함께 제공합니다.

E01 파일의 특징

  • 메타 데이터 포함: 파일 생성 날짜, 해시 값, 조사관 이름 등 다양한 정보를 포함하고 있어 증거 관리에 용이합니다.
  • 압축: 압축을 지원하여 파일 크기를 줄일 수 있습니다.
  • 확장성: 대용량 데이터를 처리하기 위해 E02, E03 등 추가 파일로 나눌 수 있습니다.
  • 범용성: 포렌식에서 가장 범용적으로 사용되는 파일 형식입니다.
  • 무결성: 증거 파일의 무결성을 보장하기 위해 MD5, SHA1 해시를 사용할 수 있습니다.
  • 암호화: 증거 파일 암호화를 위해 AES256을 사용할 수 있습니다.
  • 효율성: 정상적인 파일 시스템이면 E01을 통해 필요한 파일만 뽑아낼 수 있습니다.
 

Ex01 파일

Ex01 파일이란?

Ex01 파일은 E01 포맷의 업그레이드 버전으로, EnCase 7.0 이후 버전에서 사용됩니다. E01의 장점을 그대로 유지하면서도 데이터 처리 속도와 메타 데이터 관리 측면에서 더 나은 성능을 제공합니다.

Ex01 파일의 특징

  • 향상된 데이터 구조: e01에 비해 데이터 검색 및 관리 효율성을 높였습니다.
  • 빠른 처리 속도: e01에 비해 이미지 생성과 분석 작업에서 시간이 단축됩니다.
  • 확장된 메타 데이터: 파일 출처와 관련된 정보를 더 세부적으로 기록합니다.
  • 효율적인 압축: 기존보다 더 발전된 bzip 압축 방식을 도입해 저장 공간을 절약합니다.
  • 무결성과 암호화: 증거 파일의 무결성을 보장하기 위해 MD5, SHA1 해쉬를 사용할 수 있고, 증거 파일를 암호화하기 위해 AES256을 사용합니다.
 

AD1 파일

AD1 파일이란?

AD1 파일은 AccessData에서 개발한 디스크 이미지 포맷으로, FTK Imager를 통해 생성됩니다. 전체 디스크 이미지를 다루는 E01/Ex01 포맷과 달리, AD1 파일은 특정 파일이나 폴더만 선택적으로 캡처할 수 있습니다.

AD1 파일의 특징

  • 분할 저장: 대용량 데이터를 여러 파일로 나눠 저장 가능합니다.
  • 압축 및 메타 데이터 포함: 불필요한 데이터를 배제하고 필요한 데이터만 저장하여 파일 크기를 최소화 할 수 있습니다.
  • 선택적 데이터 캡처: 특정 파일이나 폴더를 타겟으로 캡처할 때 적합합니다.

AD1 파일의 활용 사례

  • 특정 데이터만 분석해야 하는 경우 사용됩니다.
  • 네트워크를 통해 데이터를 전송하거나 클라우드 기반 데이터를 수집할 때 사용됩니다.
  • 중요 데이터 백업 및 보관할 때 사용됩니다.

'Digital Forensics > 디지털 포렌식 개론' 카테고리의 다른 글

디지털 포렌식 증거수집 절차, 포렌식이란?, 파일 시스템, 로카르드의 교환법칙  (0) 2025.01.14
Digital Forensics Framework  (0) 2024.05.11
Digital Evidence  (1) 2024.03.02
네트워크와 암호  (0) 2024.02.21
컴퓨터 구조  (3) 2024.02.19