2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)

이제부터는 필수로 시험을 위하여 숙지하고 가셔야 하는 장입니다. 무료도구로 하시는 분들은 활용하시면 도움이 되실거라 생각합니다. EnCase로 시험준비하시는 분들은 다음장 > 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)을 참고하시기 바랍니다. 시험에 크게 중요하지 않은 부분은 최대한 제외하였고, 더 공부해보고 싶은 분은 가장 마지막을 참고해주세요.

1. 쓰기방지

• 실제 시험 또는 현장에서 발견된 디스크 또는 저장매체의 경우 내 컴퓨터에 연결하는 순간 디스크의 내용이 1이라도 변하지 않는다는 보장이 없습니다.

• 따라서 쓰기방지 또는 읽기전용 모드로 내 PC에 연결하여야 합니다.

• 쓰기방지 전용 하드웨어도 있긴 하지만, 시험에서는 소프트웨어적인 쓰기방지 사용합니다.

1. 소프트웨어 쓰기방지 설정

1. 윈도우 레지스트리 편집기를 이용하여 추가적인 외부 저장매체에 쓰기방지를 할 수 있습니다. Win + R 를 눌러 실행을 동작하여 regedit를 입력하거나

   

   또는 윈도우 버튼을 클릭하거나 Win 키를 입력 후 "레지스트리 편집기"를 검색하여 실행할 수 있습니다.

   
2. 레지스트리 편집기가 열리면 아래 경로를 찾아갑니다. (이 부분은 어쩔 수 없이 외워야 합니다.) 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control Control 에서 아래 그림과 같이 우클릭 – [새로 만들기] – [키] 선택합니다.

   
3. 새 키가 생성되면 “StorageDevicePolicies” 로 이름 변경합니다. *오타가 발생하면 안되니 정확히 작성합니다.

   
4. StorageDevicePolicies 선택 후 오른쪽 화면에서 우클릭 – [새로만들기] –DWORD(32비트) 값 선택합니다.

   
5. 값의 이름을 WriteProtect로 설정합니다. (오타주의) 이 후 WriteProtect 를 더블클릭 하여 값 데이터를 1로 설정합니다.(10진수, 16진수 모두 가능) -> 쓰기방지 설정이 완료되었습니다. / 값을 0으로 바꾸면 쓰기방지가 해제됩니다. -> 만약 적용이 안된거 같으면 레지스트리 수정 후 PC를 재부팅합니다.

   
6. 쓰기방지가 되어 있는 상태에서 새로운 저장장치(USB)에 저장 하려고 하면 아래 그림과 같이 디스크 쓰기가 금지되어 쓰기가 되지 않습니다. 이 상태에서 사본 이미지를 생성해야 합니다. [다만 시험장에서는 분석 대상 USB에 테스트를 하지 않도록 합니다. 만약 증거제출용 USB를 받는다면 테스트를 해보는 것은 문제 없을 것입니다.]

   

2. 도구(프로그램)을 이용한 물리 이미징(Physical Imaging)

• 저장매체는 매우 용량이 크기 때문에 도구(프로그램)를 사용하여 물리이미징 파일을 생성하게 됩니다.

• 실무에서도 대부분 도구로 물리이미징을 생성하게 됩니다. 시험에서도 필수로 해야 하는 작업으로 여러 번 반복하면서 익숙해지면 됩니다!

3. FTK Imager를 활용한 물리이미징

• FTK Imager 다운로드

80MB

AccessData FTK Imager.zip

archive

3-1. Raw 이미지 획득

※ FTK Imager로 사본 생성 할 경우, 레지스트리를 이용한 쓰기방지 이후 진행 하여야 합니다.

• Raw 이미지는 원본 저장매체의 0번부터 마지막 섹터까지 완전히 동일한 물리이미징 타입 입니다. 따라서 압축이 전혀 되지 않고, 저장매체의 다른 기타 정보를 따로 저장하지 않습니다.

1. 시험장에서 증거 대상 USB 또는 연습용 USB의 이미지 획득 할 경우 FTK Imager를 실행한 후 File – Create Disk Image [선택] Physical Drive를 선택 후 다음 여기서 USB를 선택하도록 합니다. 용량 확인 [매우 중요] (*실제 시험장에서 USB가 아닌 시험용 노트북 하드디스크를 이미징 하는 경우가 생각보다 많습니다. 꼭 주의 합니다.)

   
2. 아래 Verify images after they are created 체크를 해제합니다. 선택해도 상관없으나, 시간이 2배로 걸립니다. (단순 재확인용) Image Type의 경우 Raw로 선택 합니다. (사본이미지를 제출할 필요가 없는 경우 바로 Raw 이미지 타입으로 생성하는 것을 추천합니다.)

   
3. Browse 선택 후 저장할 폴더 설정, Image Filename에서 파일명을 선택합니다. 이후 파일시스템 복구 등에도 활용하기 위해 Image Fragment Size의 경우 0으로 설정합니다. (이 옵션은 용량이 큰 경우 여러 파일로 나눠 저장을 위한 용도입니다.) Finish 이후 Start를 선택하여 사본 이미지를 생성합니다. 대략 1GB 용량당 1분 미만 정도로 소요되는 것으로 보입니다. 다만 최근에는 조금 더 빠른 거 같습니다. (USB3.0 과 같은 인터페이스 속도 등에 영향을 받습니다.)

   
4. 완료가 되면 아래 그림과 같이 “Image created successfully” 가 나옵니다.

   
5. 파일이 저장된 경로를 가면 "이미지파일.001" 과 "이미지파일.001.txt" 파일이 있는데 여기서 txt 파일은 이미지 획득 정보가 저장되어 있습니다. (드라이브 모델, 시리얼 넘버, 전체 섹터 수 그리고 해시값 등이 포함되어 있다.) 이 해시 값은 추후에 답안작성, 분석보고서 작성에 활용합니다.

   
6. 위 과정을 통해 생성한 이미지파일.001를 이용하여 포렌식 분석 도구에서 분석을 진행하게 됩니다.

3-2. E01 이미지 획득 후 Raw 이미지 획득

• E01 이미지 타입의 경우 EnCase Evidence File Format (EWF, EnCase Evidence File)의 한 유형입니다. OpenText의 EnCase 도구에서 주로 사용하며, 많은 포렌식 도구에서 활용하고 있습니다. 여러 기능이 있으나 압축 기능이 있어 용량이 큰 물리이미징을 할 때 효율적 관리가 가능합니다.

• 단점으로는 압축 및 중간중간 체크썸도 있어 e01 이미지는 수정할 수 없습니다. 애초에 무결성 보장을 위해 만들어진 구조로 수정이 불가능합니다. 따라서 해당 이미지로부터 Raw를 추출하여 수정 및 분석이 가능합니다.

※ 만약 시험 문제에 증거 사본 이미지를 제출해야 할 경우! 최근에는 사본이미지를 제출하는 경우는 잘 없었던 것으로 보이는데 혹시나 제출이 필요한 경우라면 증거 USB를 바로 E01로 수집한 뒤 해당 이미지를 증거로 바로 제출하는 것을 추천합니다.(용량 때문) 물론 Raw 이미지도 충분히 증거 능력이 있기 때문에 문제는 없습니다. 다만 Raw 이미지의 경우 E01과는 달리 용량이 매우 크기 때문에 만약에 증거제출용 USB용량이 분석 대상 USB보다 클 경우에만 복사가 가능할 것입니다. 또한 RAW 이미지는 증거제출용 USB에 이미지를 생성하거나 복사해서 넣는 것도 매우 오랜 시간이 소요될 것입니다.

1. FTK Imager를 실행한 후 File – Create Disk Image 를 클릭합니다. Physical Drive를 선택 후 다음 여기서 USB를 선택하도록 합니다. 용량확인 [매우 중요]

   
2. 아래 Verify images after they are created 체크를 해제합니다. 선택해도 상관없으나, 시간이 2배로 걸립니다. (재확인용) Image Type은 E01으로 선택합니다.

   

   

3. E01 또한 사본이미지 이기 때문에 Raw로 이미지 생성이 가능합니다. File - Create Disk Image 후 Select Source에서 Image File 선택 한 뒤 E01 파일을 선택하여 봅시다. (반대로 Raw에서도 E01로 이미지 생성도 가능하며, E01에서 E01 생성도 가능합니다.)

   

   Add - Raw 이미지 타입으로 선택하여 동일하게 생성할 수 있습니다.

   

4. 연습 방법

4-1. 개인 USB로 연습해보기

• 개인적으로 추천하는 방법으로 용량이 적은 개인 USB에 아무 파일이나 넣고 위의 과정을 한번 해보는 것입니다.

• 다만 이미지 생성 자체는 매우 간단한 것이기 때문에 한두 번만 해보면 시험장에서도 자신 있게 수행하시면 됩니다. 추천 연습 > 1. 문제 저장매체 만들고 풀어보기

4-2. 가상디스크로 연습해보기

• 아래 링크를 참고하여 가상디스크를 만들고, FTK Imager를 이용하여 이미지 획득 연습하기 > (연습용) 가상디스크 만들기

5. 정리

1. 한번 다시 정리하면 쓰기방지 설정 후에 증거 사본 물리이미징 파일을 제출해야 하는 문제가 없을 경우 Raw로 추출합니다. 만약 문제 중 증거 사본이미지 파일을 제출해야 한다면 E01으로 사본이미지 생성 후 제출합니다. 파일시스템 복구가 필요하다면 E01에서 Raw 이미지를 생성하여 복구 및 분석에 활용하면 됩니다. 파일시스템 복구는 다음장(3. 파티션과 파일시스템 복구)에서 알아보도록 하겠습니다!

2. 실제 시험장에서 가능하면 해당 PC의 C드라이브 용량을 확인한 뒤 용량이 USB보다 많이 크다면 바탕화면에 폴더를 생성하고 물리이미징 파일을 저장하시는 걸 추천합니다. D드라이브가 있을 수도 있으나, SSD 가 아니라면 분석 시 시간이 많이 소요 될 수 있을 것입니다. 최근 PC, 노트북의 경우 대부분 C드라이브는 SSD나 NVME와 같은 속도가 빠른 하드디스크를 사용하고 있기 때문에 C드라이브에 물리이미징 파일을 두고 활용하는 것이 좋다고 생각되네요. 만약 C드라이브 용량이 작은 경우 D드라이브에 충분히 큰 용량이 있다면, 용량이 큰 드라이브에 이미지를 생성해서 활용할 수 있습니다.

3줄 요약

1. 윈도우 레지스트리를 이용한 쓰기방지를 완벽히 숙지하도록 해야 합니다.. 즉, 레지스트리 경로와 키값을 정확히 외워야 합니다.

2. 문제를 읽고 Raw이미지를 획득할지 E01로 획득할지 빠르게 판단하도록 합시다. 대부분 사본이미지를 제출하는 경우가 잘 없어서 Raw 이미지로 획득하면 되지만 만약 제출해야할 경우 E01으로 바로 수집을 하도록 합시다.

3. 이미 획득한 이미지파일 E01이나 Raw이미지(확장자 001)은 얼마든지 새로 이미징 파일을 만들 수 있습니다.

+ @(시험 외 공부용)

• 만약 물리이미징 부분에 대해서 보다 상세한 내용을 알고 싶다면 아래 링크 참고 - 저장매체, 섹터, 물리이미징 관련 추가 내용 > 2) 저장매체와 섹터 그리고 물리이미징 - 물리이미징 도구 만들기 > 2-3) 물리이미징 수집 도구 만들기(기초)