FTK imager로 VMDK 파일을 DD파일로 이미징

---

FTK Imager로 VMDK 파일을 DD 파일로 이미징하기

오늘 사용할 파일은 VMDK 파일로 VMware 가상 머신에서 사용하는 가상 디스크 파일입니다.

FTK Imager를 이용하여 DD(디스크 덤프) 파일 형식으로 이미징하는 작업은 디지털 포렌식에서 중요한 과정입니다.

이 과정에서 주의할 점, DD 파일로 이미징하는 이유 마지막으로 실습까지 구체적으로 알아보겠습니다.

1. FTK Imager를 통한 VMDK 파일 이미징

FTK Imager는 포렌식에서 많이 사용되는 툴이며 다양한 디스크 이미징 기능을 제공합니다. VMDK 파일을 DD 파일로 변환하는 과정은 간단하지만 이 과정에서 몇 가지 중요한 점을 고려해야 합니다.

주의할 점:

• 무결성: FTK Imager를 사용할 때 가장 중요한 점은 원본 VMDK 파일을 그대로 유지해야 한다는 것입니다. 디지털 포렌식에서 증거의 무결성을 유지하는 것이 매우 중요하기 때문에, 이미징 작업을 수행할 때는 원본 파일을 읽기 전용 모드로 마운트하고, 이미지 파일을 별도의 안전한 장소에 저장해야 합니다.
• 원본 파일: 작업 전에 파일의 백업을 별도로 생성하여 안전한 공간에 보관해야 한다. 작업 중 실수로 파일이 손상될 수 있으므로 백업을 하여 별도 보관해야 합니다.

---

2. DD 파일로 이미징하는 이유

DD 파일 형식은 "디스크 덤프" 형식으로 물리적 디스크나 파티션의 정확한 복제본을 만들기 위한 형식입니다. 이 형식은 원본 디스크의 비트 단위로 복제되기 때문에 원본 데이터가 정확히 재현됩니다.

DD 파일로 이미징하는 이유:

• 원본 복제: DD 파일 형식은 원본 디스크를 정확하게 복제하는 방식으로, 디스크의 모든 데이터를 비트 단위로 복사합니다. 이는 파일 시스템의 구조, 숨겨진 파일, 삭제된 파일까지 포함하여 원본 데이터를 온전히 복제할 수 있다는 장점이 있습니다.
• 호환성: DD 형식은 대부분의 포렌식 툴과 분석 툴에서 지원되며, 다양한 환경에서 사용할 수 있습니다. 이로 인해 여러 분석 툴과의 호환성 문제를 걱정할 필요 없이 데이터를 분석할 수 있습니다.

---

실습

먼저 FTK Imager와 실습에 쓰일 vmdk 파일을 준비해 줍니다.

FTK Imager로 VMDK 파일을 DD 파일로 이미징하기

오늘은 VMware 가상 머신에서 사용하는 가상 디스크 파일인 VMDK 파일을 FTK Imager를 이용해 DD(디스크 덤프) 파일 형식으로 이미징하는 방법을 알아보겠습니다. 디지털 포렌식에서 이 작업은 중요한 과정으로, 증거의 무결성을 유지하면서 데이터를 분석할 수 있도록 도와줍니다.

1. FTK Imager를 통한 VMDK 파일 이미징

FTK Imager는 디지털 포렌식에서 널리 사용되는 도구로, 디스크 이미징 기능을 포함한 다양한 기능을 제공합니다. VMDK 파일을 DD 파일로 변환하는 과정은 간단하지만 다음과 같은 주의사항을 염두에 두어야 합니다.

주의할 점:

1. 무결성 유지:
   • 원본 VMDK 파일은 읽기 전용 모드로 마운트해야 합니다.
   • 이미징 작업 후에도 원본 파일은 변경되지 않도록 보관해야 합니다.
2. 이미징 파일 저장:
   • 생성된 이미징 파일은 별도의 안전한 장소에 저장해야 하며 해시 값을 비교하여 무결성을 확인해야 합니다.

---

2. DD 파일로 이미징하는 이유

DD 파일은 디스크 덤프 형식으로 원본 디스크의 비트 단위 복제를 지원합니다.

DD 파일 형식의 장점:

1. 원본 복제:
   • 디스크의 모든 데이터를 정확하게 복제하며, 숨겨진 파일이나 삭제된 파일까지 포함됩니다.
2. 호환성:
   • 대부분의 디지털 포렌식 툴에서 DD 형식을 지원하므로, 다양한 환경에서 분석 작업을 수행할 수 있습니다.

---

3. 실습: FTK Imager를 이용한 VMDK 파일의 DD 이미징

• 준비물:
  • FTK Imager
  • VMDK 파일
• FTK Imager 실행:
  • 프로그램을 실행합니다.

• Evidence Item 추가:
  • 좌측 상단의 Add Evidence Item 버튼을 클릭합니다.
  • Image File을 선택한 후 VMDK 파일을 추가합니다.

 

• VMDK 파일 확인:
  • VMDK 파일이 FTK Imager에 생성된 것을 확인합니다

 

 

• Export Disk Image:
  • VMDK 파일을 우클릭한 후 Export Disk Image를 선택합니다.

• 이미징 형식 선택:
  • Create Image에서 Add를 클릭하고, Raw(dd) 형식을 선택한 뒤 다음 단계로 이동합니다.

• 해당 이미징에 대한 정보를 남길 수 있는 창입니다. 저는 그냥 무시했습니다.

• 이미징 정보 입력:
  • 이미징 파일의 경로와 이름을 지정합니다.
  • Image Fragment Size를 조정하여, 나누지 않고 하나의 파일로 생성하려면 값을 0으로 설정합니다.

중요한 설정: Image Fragment Size

Image Fragment Size는 생성된 이미징 파일을 일정 크기로 나눌지 결정하는 설정입니다.

• 기본값은 1500MB로 설정되어 있어 파일이 여러 조각으로 나뉘어 생성됩니다.
• 해시 값을 비교하거나, 관리가 용이하도록 하나의 파일로 생성하려면 값을 0으로 설정합니다.

• 이미징 시작:
  • Start 버튼을 눌러 작업을 시작합니다.
  • Verify images after they are created 옵션을 선택하면, 작업 후 해시 값이 자동으로 비교됩니다.

• 결과 확인:
  • 작업이 완료되면 DD 파일이 지정한 경로에 생성된 것을 확인합니다.

• 내용 확인:
  • 경로에 생성된 것까지 확인을 했으면 FTK Imager를 통해 내용도 같은지 확인합니다.

• 해시값 확인:
  • 기존 vmdk 해시와 dd 파일의 해시를 비교해보면 다른 것을 알 수 있다. 이것은 1비트만 달라져도 해시값이 달라지므로 파일 형식이 달라졌기 때문에 당연하게 달라지게된다. 해당 해시값은 hashmap이란 툴을 사용했다.