디스크 이미징, 디스크 마운트, 메모리 덤프

[디스크 이미징]
디스크를 분석할 때 파일의 형태가 필요하므로 디스크를 파일의 형태로 가져오는 것

같은 드라이브 간 디스크 이미징은 불가능하므로 
C 드라이브 이미지 - > D / E 드라이브 저장
D 드라이브 이미지 -> C / E 드라이브 저장 
과 같은 방식을 사용해야한다.

 

실습과정 / ftk imager 사용

 

1. ftk imager -> create disk image

2. physical drive 선택

3. 용량이 큰 드라이브일수록 실습에 오랜 시간이 걸리므로 용량이 작은 usb 선택

사진에 선택된 것은 아직 c드라이브

4. add.. 클릭 후 이미지 타입 선택 / raw와 E01이 주로 사용되나 실습에서는 압축 포맷인 E01 사용

 

5. image fragement size 는 0으로 설정 / 이미지 파일을 쪼개지 않고 통째로 저장함

6. 디스크 이미징 진행 ..

7. 해시값 확인

 

[디스크 마운트]

디스크 이미징 이후 이미징된 파일을 등록시키는 것

디스크 이미지를 드라이브 형태로 컴퓨터에 등록하여 디스크 마운트가 끝나면 내 컴퓨터에 드라이브들이 추가되는 것을 확인할 수 있다.

 

실습 과정 / ftk imager 사용

 

1. image mounting 클릭 후 image 파일의 위치를 설정하고 mount 클릭

2. 마운트 완료! 새로운 드라이브 확인 가능

3. add evidence item으로 마운트 된 드라이브 추가 -> physical drive -> 나의 usb

4. evidence tree를 통해 usb에 대한 정보 확인

 

[메모리 덤프]

메모리의 특정 시점을 기준으로 카메라 찍듯 떼내어 저장하는 것

 

실습 과정 / ftk imager + HxD

 

1. capture memory -> destination path 설정 -> capture memory

2. memory progress 진행

3. HxD 파일을 통해 메모리 덤프가 완료된 파일 열기