0-1) 주요 분석 도구 간단 소개 및 설정
1. HxD (Hex Editor)
HxD는 파일, 혹은 디스크, 디스크 이미지 등을 hex(16진수)값으로 표현하고 이를 수정 할 수 있는 기본적인 도구입니다.
기본적인 사용법은 아주 간단합니다. File - Open 또는 아래 열기 아이콘을 통해 파일을 불러 올 수 있습니다.
보기 - 오프셋 기반에서 10진수, 16진수 변환 가능(변경할 필요는 잘 없습니다. 보통 16진수로 사용)
우측의 데이터 변환기에서는 선택한 영역의 변환 값을 확인할 수 있습니다. 아래 그림을 예로 들면 74 65 73 74 (리틀엔디안) -> 74 73 65 74 (16진수) => 1,953,719,668 (32바이트 값 변환) 하단에는 시간 값 변환도 가능합니다.
도구 - 디스크 열기 / 디스크 이미지 열기 실제 연결되어 있는 디스크 또는 디스크 이미지(추후에 공부하게 될 사본 파일)를 섹터 단위로 열고 수정 할 수 있습니다. 포렌식 분석에 저장매체, 사본이미지를 분석할 경우 이 메뉴를 많이 이용하게 될 것입니다. *디스크 열기의 경우 관리자 권한으로 실행되어야 합니다.
또한 섹터 부분의 숫자를 입력하여 원하는 섹터로 이동이 가능합니다.
아래와 같이 수정이나 추가 등도 바이트 단위로 입력 및 수정이 가능합니다.
hex에서 파일을 수정할 경우 기존의 파일을 BAK 파일로 생성하게 됩니다. 만약 용량이 큰 파일을 수정할 경우 오랜 시간이 걸릴 수 있기 때문에 가능하면 설정 - 보안 탭에서 백업 파일 생성 체크를 해제하도록 합시다.
파일을 새로 생성하여 hex 값으로 데이터를 새로 만들고 저장할 수 있습니다.
2. FTK Imager
FTK Imager의 경우 저장매체에 저장되어 있는 파티션, 파일시스템 구조 등을 분석하여주고, 사본 이미지 등을 생성하는 간단한 프로그램입니다. 대신 사본이미지를 획득 도구 답게 읽기는 가능하나 수정 기능은 포함하지 않습니다.
설치 파일 다운로드
포렌식 분석에서 아주 간단한 분석도 가능하나 기본적으로 Imager 답게, 물리, 논리, 메모리의본 이미지를 생성하는 도구 입니다. 자세한 사용방법 및 원리는실습을 하면서 자연스레 익히게 될 것이고 자주 사용하게 되는 프로그램입니다. 추후 활용을 위해 미리 View-Properties를 선택하여 분석 결과 창을 열어두도록 합시다.
3. Active Disk Editor
저장매체의 파티션, 파일시스템 등을 분석하고, 수정하는 기능을 가진 도구입니다. 여러가지 수정 및 분석 기능들을 포함하고 있으나 무엇보다 좋은건 템플릿을 통해 우리가 분석을 할 때 시각적으로 활용하기 좋습니다.
포렌식과 친해지기에서는 수정 기능은 사용하지 않을 것이며, 분석 할때 템플릿 등을 통해 활용할 것이며 기타 기능은 사용하지 않을 예정입니다.
(2024. 05월 버전) Active@ Disk Editor 24.0 (실습용 다운로드) https://www.disk-editor.org/index.html [공식사이트 다운로드]
처음 시작하면 뜨는 창은 그냥 우측 하단에 Close를 누르고 종료하면 됩니다. Show this view on startup 도 체크 해제 하도록 합시다.
프로그램 테마가 기본이 Dark인데 어둡다고 생각한다면 전체적인 색깔 테마를 바꿀 수 있습니다. [Tool - Preferences] - Environment 에서 Application sytle 에서 원하는 색깔로 변경 가능 합니다.
추후에 사용할 기능으로 Templates 를 이용하여 저장매체의 파티션, 파일시스템 등을 분석을 할 때 시각적으로 구분해서 보기 편하게 분석 할 수 있는 기능을 제공합니다. 사실 이러한 기능들은 처음 공부에 활용하는 것이 도움이 되며, 이후 어느정도 분석에 익숙해지면 이러한 기능 없어도 분석 대상 영역에 어떤 값들이 있는지, 있어야 하는지 예상/분석할 수 있습니다. 그전까지 친해지기 전까지 잘 활용하여 봅시다.
Last updated