404 Not Found

가장 대표적인 FTK imager 툴을 이용해서 디스크 이미징을 수행한다.

디스크 이미징을 수행하는 이유는 증거를 분석 시 증거를 훼손하지 않기 위해서 하는 작업이다.

쉽게 말해서 본뜨는(?) 과정이다. 자칫 분석 도중에 실제 증거가 훼손되면 큰일나기 때문에.

순서대로 설명하고자 한다.

1. Create Disk image  > 이미징할 디스크 생성하기 

2. 증거 수집하려는 형태를 고를 수 있는데 디스크 이미징에서는 대부분 첫번째인 물리적 디스크에서 이미징을 수행하기 때문에 선택.

Physical drive : 전체 디스크를 다 이미징 할 때

Logical drive : 파디션되거나 부분적인 디스크를 이미징할 때 

둘을 가장 많이 씀.

3. 이미징을 수행하려는 물리 디스크 파일 선택. 

4. 이미징할 디스크가 올라오면 Add.. 부분을 눌러서 

5. 이미징할 디스크 이미지 파일 종류 선택이 가능함.

가장 보편적으로 사용되는 것이 E01과 RAW 이다.

E01은 가장 많이 사용하는 포맷 유형이다. 해당 포맷은 암호화를 위해 해시를 사용가능하고, 증거 파일 암호화를 통해 AES 사용한다. 

* 암호화를 사용하는 이유는 혹시 이미징한 파일이 변경되거나 위조되거나 했을 때 해시값을 비교해 위변조 여부를 판단한다.

RAW는 가장 가공되지 않은 RAW DATA 느낌이다. 데이터를 추가 및 삭제 등 가공을 하지 않고 그냥 그대로의 비트 단위로 복사한다.

RAW 포맷 형태를 사용하는 이유는 E01를 이용하는 도구를 사용할 수 없거나 분석도구가 E01을 지원하지 않을 때 사용된다. 

6. 증거 수집을 위한 작업인 이미징 과정에서 이러한 절차에 대한 정보를 남기기 위한 파트임.

사건 번호, 증거 번호, 분석가 이름 등을 남겨서 이미징된 디스크들이 혼용되거나 헷갈리지 않게 구별한다. 

7. 이미징 후 이미징된 디스크가 저장될 위치와 이름을 지정한다.

실제라면 보통 이 이미징한 디스크를 옮겨서 외부에서 분석하기 때문에, 외장하드 등을 연결해서 대용량 디스크를 옮김.

Image Fragment size - 이미징하는 디스크를 세분화하는 설정, 얼마나 분할해서 저장할 것이냐 

Compression - 압축, 용량이 너무 크다면 압축을 높게 줘서 용량을 줄임.

8. 모든 설정이 끝난 후 start를 누르면 디스크 이미징이 진행된다. 시간이 꽤 걸린다는 점을 유의하자.