Disk Imaging
디스크 이미징이란 디지털 저장매체의 복제본인 디스크 이미지를 생성하는 과정이다.
※ 디지털 저장매체란 HDD, SSD와 같이 데이터를 저장하는 장치를 의미한다.
※ 디스크 이미지란 디지털 저장매체에 저장되어 있는 디지털 데이터를 바이트 단위로 복제해서 하나의 파일로 저장한 것을 의미한다.
디스크 이미징을 위해 사용하는 도구 중에는 FTK Imager라는 프로그램이 있다.
FTK Imager 다운로드(https://www.exterro.com/digital-forensics-software/ftk-imager)
설치가 완료되면 아래 이미지와 같은 화면을 볼 수 있다.
FTK Imager를 이용한 Disk Imaging
프로그램 왼쪽 상단의 'Add Evidence Item'을 누르면 아래 화면과 같이 증거물을 선택할 수 있는 창이 나온다.
위 이미지의 5가지 선택 버튼의 의미는 아래와 같다.
| 메뉴 | 의미 |
| Physical Drive | 물리적인 드라이브(=디스크)를 프로그램에 추가 |
| Logical Drive | 논리적인 드라이브(=드라이브)를 프로그램에 추가 |
| Image File | 디스크 이미지 파일을 프로그램에 추가 |
| Contents of a Folder | 특정 폴더의 파일들을 프로그램에 추가 |
| Fernico Device (multiple CD/DVD) | Fernico Device를 프로그램에 추가 |
※ Disk와 Drive
- Disk는 물리적으로 형태를 지닌 저장매체를 의미한다. HDD, SSD가 바로 Disk를 의미한다.
- Drive는 논리적으로 구분되는 저장공간을 의미한다. C 드라이브, D 드라이브가 바로 Drive를 의미한다. 일반적으로 하나의 Disk가 여러 개의 Drive를 가지기도 한다.
Physical Drive 버튼을 누른 후, 현재 기기에 연결된 저장장치들의 목록이 표시되는 것을 확인할 수 있다.
필자는 크기가 작은 USB 장치를 연결해서 \\.\PHYSICALDRIVE1을 선택하고 다음으로 넘어간다.
아래 이미지와 같이 왼쪽 상단에 \\.\PHYSICALDRIVE1가 추가된 것을 확인할 수 있다. 확장 탭(+)을 통해 저장된 폴더와 파일들을 확인할 수도 있다. 추가한 디스크를 우클릭 한 후, Export Disk Image 버튼을 눌러 디스크 이미지로 생성해서 내보내는 동작을 수행하도록 하겠다.
아래 이미지는 디스크 이미지를 저장할 위치를 선택하는 화면이다. Add 버튼을 누른다.
그 결과로 아래 이미지와 같이 4가지 디스크 타입 중 하나를 선택할 수 있는 창이 나온다. E01 타입을 선택한다.
| 디스크 이미지 파일 확장자 | 설명 |
| Raw (dd) | 원본 디지털 저장매체에 저장된 데이터를 어떠한 압축도 없이 원본 그대로 저장하는 파일 확장자. 이런한 원본 데이터를 Raw 데이터라고 부르며, Unix/Linux 운영체제에서 수행하는 dd 명령어를 수행한 결과와 비슷하기 때문에 별도로 표기되어 있다. |
| SMART | Linux 파일 시스템을 위해 설게된 형식으로, 선택적인 압축을 통해 순수 비트스트림을 유지한다. |
| E01 | 일반적으로 많이 사용되는 디스크 이미지 파일 확장자로, 원본 데이터를 압축하여 저장하기 때문에 파일 크기가 작아지고, CRC 및 MD5 필드를 통해 파일 변조를 검증할 수 있다는 장점이 있다. |
| AFF | 독점작인 포맷이 아닌, 제대로 분석할 수 없는 디스크 이미지 포맷 생성을 목적으로 한다. |
다음, 아래 이미지에서는 분석할 사건에 대한 정보를 기록할 수 있다. 이 부분은 자유롭게 적을 수 있으며, 안 적어도 된다.
다음, 아래 이미지에서는 저장할 경로를 선택할 수 있다. Browse 버튼을 눌러 저장할 경로를 선택하고, 그 아래 입력 칸에는 저장할 파일 이름을 입력한다. Image Fragment size는 0으로 변경한다. 입력이 완료되면 Finish 버튼을 눌러 이미지 생성 준비를 완료한다.
※ 디스크 이미지를 저장할 경로는 디스크 이미징 대상이 되는 저장장치와 달라야 한다.
※ 저장할 경로의 크기는 디스크 이미지의 크기보다 여유로워야 한다.
이제, Start 버튼을 눌러 디스크 이미징을 시작한다.
디스크 이미징을 시작하면 아래 이미지와 같이 진행 사항이 표시된다. 디스크 이미징은 매우 긴 시간을 필요로 하는 작업이다.
약 3시간에 걸쳐 디스크 이미징이 완료된 것을 왼쪽 이미지를 통해 확인할 수 있다. 오른쪽과 같이 해시를 통해 디스크 이미징이 올바르게 수행하는지 점검할 수 있다. 점검 결과 이상이 없다면, 종료하면 디스크 이미징 작업이 끝난다.
Disk Image Mounting
이번에는 생성한디스크 이미지 파일을 컴퓨터가 인식하도록 등록해보겠다. 이 동작을 디스크 이미지를 mount 한다고 한다. 아래 이미지와 같이 Add Evidence Item을 클릭한 후, Image File 버튼을 선택한다.
다음, Browse 버튼을 눌러 이전에 생성했던 이미지 파일을 찾아 입력하고, Finish 버튼을 누른다.
아래 이미지와 같이 왼쪽 상단에 생성한 파일이 추가되었다. 확장 버튼(+)을 누르면, 이미징했던 내용을 확인할 수 있다.
또한, 특정 폴더나 파일을 우클릭하고, Export Files 버튼을 누르면 폴더나 파일을 컴퓨터로 추출할 수 있다.
'Disk Forensic' 카테고리의 다른 글
| PC-based Partitions (0) | 2025.04.06 |
|---|---|
| Volume Analysis (0) | 2025.02.22 |
| MBR, VBR (0) | 2025.02.19 |
| File system (0) | 2025.02.19 |
| Partition, Volume Practice (0) | 2025.02.18 |