[포렌식 5주차]

 

<FTK Imager 사용법> 

https://iforint.tistory.com/80 여기에서 참고하였다. 

FTK Imager 사용법 및 복원

 

제일 중요한 FIle의 기능을 보자

 

1) Add Evidence Item은 증거자료를 Evidence Tree에 추가하는 과정이다.

선택하면 아래와 같은 화면이 뜬다. 

 

위에서부터, 물리적 드라이브(HDD 전체 지정), 논리적 드라이브(HDD를  C,D 등으로 분할하여 사용할 경우), 이미징파일 그리고 특정 폴더의 콘텐츠이다. 

 

2) Create Disk Image는 내 디스크 이미지 덤프하는 과정이다. 대표적으로 E01 파일을 사용한다. 

 

3) Image Mounting은 이미지 파일의 경로를 주고 마운트를 시키면 포렌식 이미지는 읽기 전용 보기 옵숀이 있는 드라이브나 물리 장치로 마운트 된다. 지원되는 타입은 E01, S01, AFF 등이 있다. 

 

4) Capture Memory는 메모리를 캡처한 결과를 저장할 수 있다. 

 

위의 기능을 통해서 삭제한 파일을 복구할때는 Export Files를 통해 복구를 한다. 

이 과정에서 File Slack이라는 형식의 파일이 존재하는데, 이것은 물리적으로는 파일에 할당된 공간이지만 논리적으로는 사용할 수 없는 공간이다. slack 공간은 정보를 은닉할 수 있고 파일의 복구 및 삭제된 파일의 파편조사 시 유용하게 사용될 수 있어서 중요하게 고려되는 사항이다. 

 

이제 실습을 해보겠다. 

 

설치 후 초기 화면이다. 

 

File의 create disk image를 해주면 아래와 같이 나온다. 

USB를 사용할 것이므로 physical Drive를 선택해준다. 

 

그러면 아래와 같은 화면이 뜨는데 이것은 이미지가 저장될 장소이므로 반드시 USB와 다른 공간을 설정해줘야한다. 

그렇지 않으면, "The image Destination cannot be on the disk being imaged" 라는 팝업창이 뜨고 다시 해야 한다. 

이미징하는 디스크와 이미징 파일을 다른 디스크에 저장해야 한다. 

finish를 누르고 start 버튼이 뜨면 누르면 아래와 같은 과정이 뜬다. 아래 과정이 뜨면, 

아래와 같은 화면이 뜬다. 

그리고 실제로 C 드라이브를 확인해보면, 아래와 같이 E01이 생성된 것을 볼 수 있다. 이로써 덤프는 끝났다. 

 

이제 실제로 이미지 파일을 삭제하고 복구해볼것이다. 

먼저 USB에 있는 사진을 지운다. (사실 덤프 하기 전에 미리 해놔야 한다. 그래서 덤프 과정을 한 번 더 했다..) 

common이라는 사진은 아래와 같다. 

File의 Add evidence item을 선택하고 만들어놓은 retest.E01 파일을 선택한다. 

 

그러면 retest.E01 아래의 root를 누르면 내가 USB에서 삭제한 파일들이 뜨게 된다. 아까 지웠던 common 파일과 유사한 !ommon.jpg가 보인다. 이것과 함께 File Slack을 같이 Export Files를 해주고 댜시 저장할 위치를 설정해주면, 

export가 성공적으로 되었다고 팝업창이 떴다. 

다시 USB에 들어가서 확인해보니, 원하는 파일이 제대로 복구된 것을 확인할 수 있었다.