0) 이미지 획득 및 파일시스템 복구

다운로드한 가상디스크를 이미지 획득 후 파일시스템 복구를 한 뒤 이후에 분석 연습할 파일들을 추출하여 봅시다.

실습용 이미지 다운로드 및 연결 후 진행하시기 바랍니다.

> 2. 필수 기초 분석 도구(무료도구)

1. 사본 이미지 획득

1. 분석 연습용 가상 디스크를 다운로드 후 연결 합니다. (실제 USB를 연결한 것과 동일한 절차 입니다. 시험에서는 쓰기방지 후 USB를 연결합니다.)

2. FTK Imager를 이용하여 가상디스크를 연결한 물리디스크를 선택합니다.

   
3. 추가한 저장매체 최상위 우클릭 Export Disk Image를 선택 후 Add 를 클릭합니다. 최상위를 Export 를 하지 않고 파티션을 Export 할 경우 저장매체 전체가 이미지가 아니기 때문에 무조건 최상위를 선택해야 합니다.

   

   파일시스템 복구를 위해서는 Raw(dd)로 저장해야 합니다. 그리고 사본 이미지를 저장할 위치와 파일명을 선택합니다. Image Fragment Size의 경우 0 으로 설정하면, 이미지 파일 1개로 만들어 줍니다. (만약 0으로 하지 않고 작은 크기로 raw 이미지를 나눠 저장 할 경우 파일시스템 복구를 위한 이미지가 분할 저장되기 때문에 복구 및 관리가 어려움으로 0으로 설정합니다.)

   

   Start를 눌러 진행되면 이미지가 생성됩니다.

   
4. 이미지가 생성되고, log 파일도 생성됩니다. 로그파일을 보면 해당 raw 이미지의 해시값도 확인할 수 있습니다. 시험에서 사본이미지의 해시값을 물어본다면 이 값을 제출해야 하며, 분석 보고서에서도 저장매체 관련 내용을 포함할 때 이 해시 값을 포함하는 것이 적절합니다. 만약 정상적으로 이미지 획득을 하였다면, 아래와 동일한 해시값이 나올 것입니다. (가상디스크 인식 시 읽기전용으로 하지 않았다면 다를 수 있습니다. 설령 해시값이 다르더라도 연습에서는 문제가 안되니 진행하시면 됩니다.

   
5. 참고로 최상위 저장매체 선택할 필요 없이 File - Create Disk Image를 선택하여 동일한 순서로 이미지 획득하여도 무방합니다.

   

2. 파일시스템 복구

1. 먼저 View-Properties로 표시 하여 둡시다. 우선은 복구에 필요한 정보만 살펴보겠습니다.
2. 파티션 1번을 클릭하여 보면 128번 섹터부터 시작하며, 아래와 그림과 같이 파일시스템의 주요 정보가 들어 있는 부분이 비어 있습니다.

   

   파티션 2번의 시작 3,145,856번 섹터 전체가 비어 있습니다. 이렇게 파일시스템 시작 위치에 정상적으로 파일시스템 관련 정보가 없으면 파일시스템이 훼손되어 있어 복구 후 진행하여야 합니다.

   
3. 먼저 NTFS의 파일시스템은 파티션 마지막에 파일시스템 BR 백업본이 있습니다. 백업본의 섹터 번호는 3,145,855번 입니다. 즉, 3,145,855번 섹터를 파티션 1 시작 위치인 128번에 복사, 붙여넣기 합니다. > 3,145,855 섹터 -> 128번 섹터

   

   파티션 2번도 동일하게 파티션의 마지막으로 가봅시다. 파티션 2번 끝 섹터에는 아무것도 없습니다. 즉 NTFS 파일시스템이 아닙니다.

   

   그렇다면 FAT32의 복사본이 있는 파티션 2번 시작 섹터 기준으로 6번 뒤로 가보도록 합시다. 파티션 2 시작 섹터에서 조금 내리면 FAT32의 복사본이 있는 섹터를 발견할 수 있습니다. 파티션 2번 시작 섹터 + 6번 섹터가 복사본이 위치합니다. 파티션 2시작 섹터 : 3,145,856 / 복사본 위치 3,145,856 + 6 = 3,145,862 즉, 3,145,862섹터 -> 3,145,856 섹터로 복사 붙여넣기 하면 됩니다.

   
4. 우선 파일시스템 복구를 위해 필요한 것을 확인하였습니다. - 파티션 1의 파일시스템 복구: 3,145,855 섹터 -> 128번 섹터 - 파티션 2의 파일시스템 복구: 3,145,862섹터 -> 3,145,856 섹터

5. 이제 추출한 이미지를 복구해보도록 하겠습니다. HxD로 Raw이미지를 불러오도록 합니다. 이미지 파일을 열 때는 [도구 - 디스크 이미지 열기] 방식으로 열어야 섹터 이동이 가능합니다.

   

   *주의 만약 Raw 이미지를 FTK Imager로 한번이라도 연 경우, FTK Imager를 종료하지 않으면 Raw 이미지가 수정되지 않습니다. 따라서 모든 프로그램 종료 후 HxD만 가지고 복구하도록 합시다. 위에서 설명한 방법을 따라 온 경우 가상디스크의 물리드라이브를 FTK Imager가 열고 있기 때문에 추출한 이미지와는 상관이 없어 FTK Imager가 열려 있어도 문제는 없습니다.

6. 파티션 1번의 파일시스템을 복구하여 봅시다. 3145855 섹터를 복사 한 뒤 128섹터에 덮어쓰도록 합시다. 붙여넣기 쓰기를 하여야 합니다. (붙여넣기 삽입을 할 경우 1섹터가 전체 밀려서 저장되면 정상적으로 복구가 되지 않습니다.)

   

   
7. 파티션 2번의 파일시스템도 복구하여 봅시다. 즉, 3,145,862섹터를 복사한 뒤

   

   3,145,856 섹터에 붙여넣기 쓰기 합니다.

   
8. 저장 한 뒤 FTK Imager에서 해당 이미지를 열어봅시다.

   

   Image File 을 선택하여 복구한 이미지를 획득합니다.

   

   정상적으로 복구가 되었다면 아래와 같이 파일 구조가 보이고, 연습에 필요한 다양한 파일과 윈도우 아티팩트 등이 저장되어 있습니다.

   

3. 가상디스크 자체 복구

시험에 꼭 필요한 것은 아니고, 우리가 배운 것을 활용할 경우 실제로 이렇게 될 수 있는 것으로 참고로 한번만 해보시는 것을 추천합니다. 가상디스크를 뿐만 아니라 하드디스크, 외장하드, USB 등이 모두 동일한 구조를 갖습니다.

• HxD를 이용하여 가상디스크 자체를 복구해서 접근하여 봅시다. 실제 시험에서는 의미는 없으나 우리가 공부한 것을 이용하여 복구를 해보도록 합시다.

1. 가상디스크를 분리 후 다시 연결하여 봅시다. 이번에 연결 할 때는 읽기 전용 열기를 해제하여 직접 수정을 통해 복구하여 봅시다.

   

2. HxD를 열어 봅시다. 이때는 관리자 모드로 열어야 합니다. 그리고 [도구 - 디스크 열기] 선택 후 물리 디스크에서 Msft Virtual Disk 를 선택합니다. 주의사항으로 꼭 가상 디스크를 선택해야 합니다. 만약 실수로 사용하고 있는 다른 디스크 선택 시 훼손되면 복구가 어려울 수 있으니 꼭 선택하여야 합니다.

   

   수락을 선택합니다!
3. 파일시스템 복구한 것과 동일하게 복구 후 저장합니다. - 파티션 1의 파일시스템 복구: 3,145,855 섹터 -> 128번 섹터 - 파티션 2의 파일시스템 복구: 3,145,862섹터 -> 3,145,856 섹터

   

4. 복구 후 저장이 정상적으로 되면 윈도우 탐색기에서 디스크가 추가되고 접근이 가능합니다. 만약 접근이 안되면 디스크 관리에서 F5를 눌러 새로고침을 해봅니다.

   

5. 만약 아래와 같이 논리 디스크 드라이브 문자 경로가 할당되지 않은 경우

   

   해당 디스크 선택 후 [우클릭 - 드라이브 문자 및 경로 변경] 선택 후 추가하여 원하는 드라이브 문자를 추가하여 합니다.

   

   내 PC에서 확인하면 추가 되어 있습니다.