디지털 포렌식 - FTK Imager을 이용한 디스크 이미징, 디스크 마운팅, 메모리 덤프

※ 준비 사항

- C 드라이브 이외에 D, E 드라이브 등 추가 드라이브가 존재해야 함

- 추가 드라이브가 없다면, USB가 1개 이상 존재해야 함

 

FTK Imager 설치

https://accessdata.com/product-download/ftk-imager-version-4-5

FTK Imager Version 4.5

- FTK Imager 관리자 권한으로 실행

 

디스크 이미징

디스크 안의 내용을 파일의 형태로 가져오는 것

1) Create Image Disk 클릭

2) Physical Drive 선택

3) Source Drive Selection에서 디스크 전체를 이미지 뜨는 것이라 disk 공간이 적은 것을 선택하는 것이 빠름

4) Image Destination - Add - Select Image Type 선택 (Raw나 E01이 많이 쓰이는데 E01이 좀 더 압축된 포맷임)

5) Evidence Item Information은 실제 수사할 때 쓰임 (실습에서는 무시하고 넘어감)

6) Select Image Destination에서 경로는 아무 데나 찍어주고 filename도 아무거나, 이미지를 쪼개서 저장하지 않을 것이면 Image Fragment Size = 0

7) Finish - Start

Disk Imaging 완료

 

디스크 마운팅

저장 장치에 접근할 수 있는 경로를 디렉터리 구조에 편입시키는 작업

1) Image Mounting 클릭

2) 생성한 Image 파일을 가져옴

3) Mount 클릭 - 드라이브를 하나의 파일로 만드는 Disk Imaging을 다시 하나의 파일을 컴퓨터에게 하나의 드라이브처럼 인식하게 붙여줌 (하나의 파일이 E 드라이브로 추가됨)

존재하지 않았던 E드라이브가 추가됨

+ Evidence Item 추가

Mount 된 드라이브를 FTK Imager에서 Evidence Item으로 추가하는 것

1) Add Evidence Item 클릭

2) Physical Dirve 선택

3) 새로 생성된 가상 저장소 선택

 

＃컴퓨터에 있는 드라이브나 이미지 파일 사용 시 굳이 Mount를 할 필요는 없다.

    -> 이미지 파일을 분석할 때는 Mount가 크게 필요하지 않음

＃but, Mount를 하는 이유는 컴퓨터 폴더에서 Image파일을 똑같이 보기 위함. PATH 가 잡혀야 Registry 분석 도구, Web Browser 분석 도구 등의 여러 도구들을 사용할 수 있기 때문. (Mount 하자)

 

Mount가 되고 Evidence Item까지 추가 됨

 

메모리 덤프

- 시스템의 물리 Memory를 File 형태로 저장하는 방법

1) Capture Memory 클릭

2) path는 원하는 곳으로 설정, 나머지는 기본 값

3) Capture Memory 클릭

 

HxD에서 생성된 memdump.mem 파일 내용 확인 가능

memdump.mem 파일의 크기

 

우리는 메모리의 일부만 사용하기 때문에 메모리 덤프는 찌꺼기 데이터가 많음 (용량이 매우 큼)

-> 쓸모있는 데이터를 찾는 과정이 필요함

 

 

다음 글에서 삭제 파일 복구하는 실습 진행