[FTK Imager] 이미징 방법

파일 시스템이 깨진 USB를 포렌식 관점에서 이미징 하는 방법을 알아보겠습니다.

이미징을 하기 전에 아래의 URL로 가서 논리적으로 쓰기방지 장치를 설정합니다. 물리적 쓰기방지 장치는 비싸고 일반인은 구할 수가 없어서 논리적으로라도 쓰기방지 장치를 해야 해쉬값이 변하지 않습니다.

* http://suspected.tistory.com/entry/Win7-%ED%99%98%EA%B2%BD%EC%97%90%EC%84%9C-%EB%85%BC%EB%A6%AC%EC%A0%81-%EC%93%B0%EA%B8%B0%EB%B0%A9%EC%A7%80

일단, 파일 시스템이 깨지게 되면 아래와 같은 창이 뜹니다. 디스크 포맷을 할 경우에는 USB 파일 시스템의 무결성이 깨지기 때문에 해쉬 값이 달라지므로 법정에서 증거물 효과를 못 거둘수도 있습니다.

AccessData FTK Imager 프로그램을 통해 이미징을 실시하겠습니다. Encase와 같은 다른 도구로도 이미징이 가능합니다. 무료 소프트웨어인 아래 프로그램을 이용하겠습니다. 

File - Create Disk Image를 통해서 새로운 이미지를 만들겠습니다.

Physical Drive를 통해서 현재 연결된 장치를 확인 합니다. 

분석하고 싶은 USB를 택합니다. 

아래와 같은 창이 뜨면 Add 창을 누르고 Image Type을 선택합니다. 아래 "Veryfy images after they are created" 를 체크하면 해쉬값과 장치에 대한 모든 정보를 출력하여 메모장으로 저장합니다. 이후에 증명을 할 때 큰 증거물이 될 것입니다.

아래 창에는 여러가지 옵션이 있습니다. 주로 사용하는 옵션을 적겠습니다.

Raw(dd)는 파일 시스템을 통째로 모두 복사해서 이미지를 만듭니다.

E01은 Encase 포맷으로 효과적으로 압축한 이미지를 만듭니다. 이미지를 둘이 생성해서 크기를 확인하면 차이가 2~3배가 날 것입니다. 

* 정상적인 파일 시스템이면 E01 을 통해 필요한 파일만 뽑아내면 됩니다. 하지만, 파일 시스템이 조작이 되어 있다면 Raw(dd)를 통해서 분석을 진행하면 됩니다. 일단 E01로 이미지를 만들어 보겠습니다. E01을 가지고 Raw(dd)를 다시 이미징 할수 있으니 E01 -> Raw(dd) 순서로 이미징하는 것도 나쁘지 않습니다.

사건번호와 검수자 이름을 입력합니다. 딱히 안적어도 됩니다. 계속 다음을 누릅니다.

이제 이미징을 위한 설정은 모두 완료가 되었고 Start를 누릅니다.

완료가 되면 아래와 같이 이미지가 생성됩니다. 이제 증거 USB를 빼고 이미지를 통해서 증거 분석을 시작하면 됩니다.