0) 이미지 획득 및 파일시스템 복구

다운로드한 가상디스크를 이미지 획득 후 파일시스템 복구를 한 뒤 이후에 분석 연습할 파일들을 추출하여 봅시다.

실습용 이미지 다운로드 및 연결 후 진행하시기 바랍니다.

> 2. 필수 기초 분석 도구(EnCase)

1. 사본 이미지 획득

• EnCase를 이용하여 사본이미지를 생성할 수도 있으나, 시험에서 파일시스템을 복구하는 문제가 나올 경우 결국 FTK Imager를 이용하여 Raw 이미지로 생성 해야하기 때문에 FTK Imager를 이용하여 사본 이미지를 획득하는 연습을 해보도록 하겠습니다. (아래에서 EnCase를 이용한 사본이미지 생성도 살펴보겠습니다.)

1. 분석 연습용 가상 디스크를 다운로드 후 연결 합니다. (실제 USB를 연결한 것과 동일한 절차 입니다. 시험에서는 쓰기방지 후 USB를 연결합니다.)

2. FTK Imager를 이용하여 가상디스크를 연결한 물리디스크를 선택합니다.

   
3. 추가한 저장매체 최상위 우클릭 Export Disk Image를 선택 후 Add 를 클릭합니다. 최상위를 Export 를 하지 않고 파티션을 Export 할 경우 저장매체 전체가 이미지가 아니기 때문에 무조건 최상위를 선택해야 합니다.

   

   파일시스템 복구를 위해서는 Raw(dd)로 저장해야 합니다. 그리고 사본 이미지를 저장할 위치와 파일명을 선택합니다. Image Fragment Size의 경우 0 으로 설정하면, 이미지 파일 1개로 만들어 줍니다. (만약 0으로 하지 않고 작은 크기로 raw 이미지를 나눠 저장 할 경우 파일시스템 복구를 위한 이미지가 분할 저장되기 때문에 복구 및 관리가 어려움으로 0으로 설정합니다.)

   

   Start 를 눌러 진행되면 이미지가 생성됩니다.

   
4. 이미지가 생성되고, log 파일도 생성됩니다. 로그파일을 보면 해당 raw 이미지의 해시값도 확인할 수 있습니다. 시험에서 사본이미지의 해시값을 물어본다면 이 값을 제출해야 하며, 분석 보고서에서도 저장매체 관련 내용을 포함할 때 이 해시값을 포함하는 것이 적절합니다. 만약 정상적으로 이미지 획득을 하였다면, 아래와 동일한 해시값이 나올 것입니다. (가상디스크 인식 시 읽기전용으로 하지 않았다면 다를 수 있습니다. 설령 해시값이 다르더라도 연습에서는 문제가 안되니 진행하시면 됩니다.

   
5. 참고로 최상위 저장매체 선택할 필요 없이 File - Create Disk Image 를 선택하여 동일한 순서로 이미지 획득하여도 무방합니다.

   

EnCase를 이용한 사본 생성

• 만약 파일시스템이 훼손되어 있지 않고 바로 이미지 획득을 해도 된다면 EnCase를 이용하여 사본 생성을 하여도 무방합니다.

[E01, Ex01 이미지 생성]

1. 먼저 케이스를 생성합니다.

   

2. 가상 디스크 연결(또는 분석대상 USB 연결) 후 Add Evidence - Local Device를 선택합니다.

   

3. 체크를 모두 해제 합니다. 이미지를 획득할 대상 드라이브를 정확히 선택합니다. 연습용 가상 디스크의 경우 Msft Label을 가진 2GB 드라이브 최상위를 선택합니다.

   

4. 추가된 드라이브 선택 후 우클릭 - Process Evidence - Acquire 를 선택 합니다.

   

5. [Format] 에서 Ex01 또는 E01 형식으로 선택 한 뒤 [Location] 에서 저장할 위치를 지정합니다. Evidence Number도 입력한 뒤 확인합니다. File Segment Size의 경우 이미지 파일을 나눠서 저장할 때 단위 용량을 설정할 수 있습니다.

   

   이미지 생성이 완료되면 자동으로 이미지가 연결 됩니다. 해당 폴더로 가면 이미지 파일이 생성됩니다. Name을 선택하면 해당 이미지의 내부구조를 확인할 수 있습니다.

   
6. 다만 아래와 같이 내부 구조가 확인이 안될 경우 파일시스템 복구가 필요할 수 있습니다.

   
7. Device - Disk View에서 Export 를 이용하여 Raw 이미지 추출이 가능합니다. 다만 이를 위해선 시작 위치, 정확한 용량 등을 계산하여 입력하여야 합니다. 따라서 참고로만 알고 실제 시험에서는 이 방식 보다는 FTK Imager로 획득하는 것을 추천합니다.

   

1. FTK Imager를 이용하여 Physical로 열었을 때와 E01, Raw 이미지 파일을 열었을 때 동일하게 확인되면 이미지 획득이 된 것입니다.

   

   

• 참고로 E01, Ex01으로 획득한 경우 e01을 FTK Imager로 연 뒤 Raw 이미지로 획득할 수 있습니다. 따라서 USB를 E01으로 획득 한 경우 다시 USB를 Raw로 추출하는 것 보다 E01,Ex01에서 바로 Raw로 획득하는 것이 훨씬 빠른 속도로 획득이 가능합니다.

  

2. 파일시스템 복구

1. 먼저View-Properties로 표시 하여 둡시다. 우선은 복구에 필요한 정보만 살펴보겠습니다.

2. 파티션 1번을 클릭하여 보면 128번 섹터부터 시작하며, 아래와 그림과 같이 파일시스템의 주요 정보가 들어 있는 부분이 비어 있습니다.

   

   파티션 2번의 시작 3,145,856번 섹터 전체가 비어 있습니다. 이렇게 파일시스템 시작 위치에 정상적으로 파일시스템 관련 정보가 없으면 파일시스템이 훼손되어 있어 복구 후 진행하여야 합니다.

   
3. 먼저 NTFS의 파일시스템은 파티션 마지막에 파일시스템 BR 백업본이 있습니다. 백업본의 섹터 번호는 3,145,855번 입니다. 즉, 3,145,855번 섹터를 파티션 1 시작 위치인 128번에 복사, 붙여넣기 합니다. > 3,145,855 섹터 -> 128번 섹터

   

   파티션 2번도 동일하게 파티션의 마지막으로 가봅시다. 파티션 2번 끝 섹터에는 아무것도 없습니다. 즉 NTFS 파일시스템이 아닙니다.

   

   그렇다면 FAT32의 복사본이 있는 파티션 2번 시작 섹터 기준으로 6번 뒤로 가보도록 합시다. 파티션 2 시작 섹터에서 조금 내리면 FAT32의 복사본이 있는 섹터를 발견할 수 있습니다. 파티션 2번 시작 섹터 + 6번 섹터가 복사본이 위치합니다. 파티션 2시작 섹터 : 3,145,856 / 복사본 위치 3,145,856 + 6 = 3,145,862 즉, 3,145,862섹터 -> 3,145,856 섹터로 복사 붙여넣기 하면 됩니다.

   
4. 우선 파일시스템 복구를 위해 필요한 것을 확인하였습니다. 파티션 1의 파일시스템 복구: 3,145,855 섹터 -> 128번 섹터 파티션 2의 파일시스템 복구: 3,145,862섹터 -> 3,145,856 섹터

5. 이제 추출한 이미지를 복구해보도록 하겠습니다. HxD로 Raw이미지를 불러오도록 합니다. 이미지 파일을 열 때는 [도구 - 디스크 이미지 열기] 방식으로 열어야 섹터 이동이 가능합니다.

   

   *주의 만약 Raw 이미지를 FTK Imager로 한번이라도 연 경우, FTK Imager를 종료하지 않으면 Raw 이미지가 수정되지 않습니다. 따라서 모든 프로그램 종료 후 HxD만 가지고 복구하도록 합시다. 위에서 설명한 방법을 따라 온 경우 가상디스크의 물리드라이브를 FTK Imager가 열고 있기 때문에 추출한 이미지와는 상관이 없어 FTK Imager가 열려 있어도 문제는 없습니다.

6. 파티션 1번의 파일시스템을 복구하여 봅시다. 3145855 섹터를 복사 한 뒤 128 섹터에 덮어쓰도록 합시다. 붙여넣기 쓰기를 하여야 합니다. (붙여넣기 삽입을 할 경우 1섹터가 전체 밀려서 저장되면 정상적으로 복구가 되지 않습니다.)

   

   
7. 파티션 2번의 파일시스템도 복구하여 봅시다. 즉, 3,145,862 섹터를 복사한 뒤

   

   3,145,856 섹터에 [붙여넣기 쓰기] 합니다.

   
8. 저장 한 뒤 FTK Imager에서 해당 이미지를 열어봅시다.

   

   Image File을 선택하여 복구한 이미지를 획득합니다.

   

   정상적으로 복구가 되었다면 아래와 같이 파일 구조가 보이고, 연습에 필요한 다양한 파일과 윈도우 아티팩트 등이 저장되어 있습니다.

   

3. 가상디스크 자체 복구

시험에 꼭 필요한 것은 아니고, 우리가 배운 것을 활용할 경우 실제로 이렇게 될 수 있는 것으로 참고로 한번만 해보시는 것을 추천합니다. 가상디스크를 뿐만 아니라 하드디스크, 외장 하드, USB 등이 모두 동일한 구조를 갖습니다.

• HxD를 이용하여 가상디스크 자체를 복구해서 접근하여 봅시다. 실제 시험에서는 의미는 없으나 우리가 공부한 것을 이용하여 복구를 해보도록 합시다.

1. 가상디스크를 분리 후 다시 연결하여 봅시다. 이번에 연결 할 때는 읽기 전용 열기를 해제하여 직접 수정을 통해 복구하여 봅시다.

   

2. HxD를 열어 봅시다. 이때는 관리자 모드로 열어야 합니다. 그리고 [도구 - 디스크 열기] 선택 후 물리 디스크에서 Msft Virtual Disk를 선택합니다. 주의사항으로 꼭 가상 디스크를 선택해야 합니다. 만약 실수로 사용하고 있는 다른 디스크 선택 시 훼손되면 복구가 어려울 수 있으니 꼭 선택하여야 합니다.

   

   수락을 선택합니다!

3. 파일시스템 복구한 것과 동일하게 복구 후 저장합니다. - 파티션 1의 파일시스템 복구: 3,145,855 섹터 -> 128번 섹터 - 파티션 2의 파일시스템 복구: 3,145,862섹터 -> 3,145,856 섹터

   

4. 복구 후 저장이 정상적으로 되면 윈도우 탐색기에서 디스크가 추가되고 접근이 가능합니다. 만약 접근이 안되면 디스크 관리에서 F5를 눌러 새로고침을 해봅니다.

   

5. 만약 아래와 같이 논리 디스크 드라이브 문자 경로가 할당되지 않은 경우

   

   해당 디스크 선택 후 [우클릭 - 드라이브 문자 및 경로 변경] 선택 후 추가하여 원하는 드라이브 문자를 추가하여 합니다.

   

   내 PC에서 확인하면 추가 되어 있습니다.