FTK Imager을 이용해서 디스크 이미지 만들기

FTK Toolkit 이란?

 

전 세계적으로 가장 많이 사용되고 있는 디지털 포렌식 분석 소프트 웨어중 하나로 사용하기 편한 인터페이스, 강력한 이메일 분석 기능 및 분산 프로세싱 능력등 강력한 기능을 가진 제품입니다.

 

FTK Imager 이란?

 

FTK Toolkit에 구성요소로 있는 FTK Imager 프로그램은 증거 수집 기능 과 수집된 증거를 확인 할 때 용의하게 사용할 수 있는 도구입니다.

또한 다용한 기능을 탑재하고 있어서 초보자에서 전문가 까지 자주 사용하는 도구 입니다.

 

 

현재 사용하고 있는 2GB짜리 USB가 증거 자료로 나왔다고 가정을 할때

디지털 포렌식 전문가가 가장 먼저 해야하는 작업은 무결성을 지키기 위해서 이미지 파일을 만드는 것입니다.

 

2기가 짜리 USB를 가지고 FTK Imager를 이용해서 이미지 파일을 만들어 보고 무결성을 확인 할 수 있는 해시값까지 비교를 해보겠습니다.

 

 

File -> Create Disk Image를 클릭

 

 

현재는 USB를 연결해 있기 때문에 물리적 디스크인 Physical Drive 를 선택하고 다음>

 

실제 사용하고 있는 디스크나 연결중인 USB, 외장하드가 나오기 때문에 

이미지파일로 만들 물리적디스크를 선택! 

저는 2GB USB이기 때문에  맨아래꺼를 선택!

 

Add... 선택!

 

기호에 따라 다르지만 대표적으로 E01을 선택합니다.

 

위처럼 상황에 맞는 설명을 적어두기

 

Image Destination Folder = 이미지 파일 저장할 디렉토리 경로 설정

 

Image Filename = 이미지 파일 이름 설정

 

나머지는 기호에 따라서 변경을 한다.

 

이렇게 하나가 추가된것을 확인 할 수 있으며 Start를 눌러서 Create Image 시작!

 

이런 식으로 진행이 된다!

 

좀만 기다려 보자

이런 모양도 나온다 조금만 기다리면 마무리가 된다.

 

마무리가 된 이후에는 물리적 디스크인 USB와 새로 만들어진 이미지파일과 해시값을 비교해서 보여준다.

 

md5 해시값은 물론 sha1 해시값 까지 일치하는 것을 확인 할 수 있다.

 

생성된 파일을 확인해 보면 [지정한 이름].EO1파일과 [지정한 이름]EO1.txt파일이 생성됩니다.

[지정한 이름]EO1.txt 내용을 보면 다음과 같습니다.

 

이미지에 대한 설명이 되어 있는 것 같습니다.

 

저는 Forensic이라고 이름을 지정했기 때문에 Forensic.E01을 직접 FTK Imager에 마운트 해보겠습니다.

 

아까 정확히 이야기 못했던 시나리오를 말씀 드리자면 USB 주인인 용의자 JK가 임의 적으로 JPG 사진 파일을 증거 인멸을 한 상태 입니다.

현재 JK USB에는 1004.png만 존재하고 있는 상태 입니다. 

 

FTK Imager에 마운트 해서 한번 확인해 보겠습니다.

File -> Add Evidence Item를 들어가면

 

이미지 파일을 선택해 줍니다.

 

이미지파일의 경로를 입력해 줍니다.

 

Forensic.E01이 마운트 된것을 확인 할 수 있습니다.

 

 

왼쪽 상단의 트리 모양으로 확인 할 수 있으며, File List를 확인해 보면 현재 남아 있는 1004.png는 평범한 모양의 아이콘을 보이고 있지만 image (1).jpg는 아이콘에 X가 쳐져 있습니다. 이런식으로 삭제를 했었던 파일도 확인 할 수 있따는 것을 확인 할 수 있습니다.

 

이처럼 FTK Imager를 이용해서 디스크 이미지 파일을 만들고 디스크 이미지 파일을 마운트 해서 확인 까지 해 보았습니다.