개요
디지털 포렌식 전문가 2급 실기 시험 대비를 위한 FTK Imager를 이용한 이미지 사본 생성 방법을 다루고자 한다.
시험에서는 증거용 USB, 제출용 USB 두 개가 개인에게 지급되며, 무결성을 훼손하지 않고 분석을 하기 위해 증거용 USB 사본을 생성해야 한다.
사본 생성 방법
FTK Imager는 EnCase와 달리 이미지 사본 생성만 가능하고 분석은 불가하다. 대신 EnCase 보다 이미지 생성 과정이 단조롭고 직관적이라 FTK Imager로 이미지 사본을 생성하고 EnCase로 분석하는 방법이 선호된다.
이미지 사본 생성하기 위해 [그림 1]과 같이 FTK Imager에서 상단의 "Create Disk Image" 버튼을 클릭한다.
※ 이미지 사본 생성 과정을 시작하기 전에 반드시 쓰기 방지 정책 설정!
시험에서 제공되는 증거용 USB는 물리 드라이드이기 때문에 "Physical Drive"를 선택한다.
물리적으로 연결된 드라이브 중 증거용 USB를 선택한다.
생성하려는 사본 이미지의 타입을 지정해주기 위해 [ Add ] 버튼을 클릭한다.
이미지 타입인 Raw(dd), E01 둘 중 하나를 선택해야 한다. 시험에서는 특별한 경우(파티션 복구 등)가 아닌 이상 Raw(dd) 파일은 필요하지 않으며, 복제한 사본 파일 제출 시에도 E01 이미지만 제출하면 되기에 E01을 선택한다
- Raw(dd) : 원본과 동일하게 복제
- E01 : 압축 옵션으로 복제하기 때문에 용량이 작아지며, EnCase로 분석 시 해당 이미지 타입을 사용
[그림 6]과 같은 화면이 출력되면 Case Number 등의 입력 폼은 작성하지 않아도 무방하므로 다음 버튼을 클릭한다.
생성한 사본 이미지가 저장 될 경로와 별칭을 지정해주고 Finish 버튼을 클릭하면 되는데 여기서 중요한 것은 [그림 7]과 같이 "Image Fragment Size (MB)" 값을 반드시 0으로 설정해야 한다.
E01은 이미지 사본 생성 시 압축하여 이미지를 생성하는데 해당 옵션을 사용할 경우 지정한 용량을 초과하면 분할하여 미지를 생성한다는 것으로 옵션을 사용 하지 않기 위해 0으로 설정한다.
[그림 8]과 같이 최종 이미지 사본 생성 전 추가 옵션을 설정할 수 있는데 "Precalculate Progress Statistics" 옵션만 설정하고 나머지 옵션은 해제해준다. 해당 옵션은 이미지 사본 생성 시 남은 잔여 시간을 보여주는 옵션이며, 그 외에 다른 옵션들은 사본 생성 시 시간만 더 소모되기 때문에 사용하지 않는 것을 추천한다. [ Start ] 버튼을 클릭하면 이미지 사본이 생성된다.
'자격증 > 디지털 포렌식 전문가' 카테고리의 다른 글
| HxD를 이용한 FAT32 파티션 복구(Unrecognized file system) (0) | 2023.06.12 |
|---|---|
| EnCase를 이용한 이미지 사본 생성 방법 (0) | 2023.06.10 |
| EnCase 동글키를 이용한 라이센스 등록 방법 (3) | 2023.06.10 |
| 디지털 포렌식 전문가 2급 실기 준비 - 시험 전 확인사항 및 디스크 쓰기 방지 (0) | 2023.06.09 |
| [제 20회] 디지털 포렌식 전문가 2급 필기 합격 후기 (1) | 2023.05.27 |
