디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. 가상디스크 만들기
  • 2. 가상디스크 연결
  • 3. 가상디스크 내 데이터 수정
  1. 디지털포렌식과 친해지기
  2. 1. BIT의 저장
  3. 2) 저장매체와 섹터 그리고 물리이미징

2-1) 가상 디스크 설정

Previous2) 저장매체와 섹터 그리고 물리이미징Next2-2) 물리이미징(raw) 실습

Last updated 5 months ago

1. 가상디스크 만들기

  • 저용량의 USB를 사용해보는 것도 좋지만, USB자체의 속도가 느리거나, 하드디스크에 가상으로 생성한 것 보다는 느리기에 가상디스크를 만들어서 원하는 용량의 사이즈로 만들어서 사용해보도록 하자.

  • 몇몇 환경의 경우 가상디스크를 연결하면 외부저장장치로 인식하여 컴퓨터 사용이 어려울 수 있습니다. 특히 보안을 중요시하는 회사에서 외부저장 장치 연결하면 해제하기 전까지 멈추는데 해제할 수 없는 상황이 생길 수 있습니다. (이때 로그 오프를 하면 일시적으로 해결되는 경우가 있는데 환경마다 다르니 참고하시고, 가상디스크 만들기가 어려운 경우 눈으로만 참고하셔셔 보시면 됩니다.)

  1. 내 컴퓨터 [우클릭] – 관리 선택 합니다. (Win+X 에서 디스크 관리 선택) 기타작업 - VHD 만들기 선택!

  2. 또는 Win+X 에서 디스크 관리 선택 후 [동작] - [VHD 만들기] 선택

  3. 가상 디스크를 만들 수 있으며, 하나의 파일로 저장된다. 원하는 크기의 용량을 설정할 수 있고, 우선은 아래 옵션으로 진행하도록 합시다. 용량은 원하는 대로 설정하면 됩니다.

  4. 완료가 되면 정말 아무 것도 없는 가상 디스크가 생성 된 것입니다.

2. 가상디스크 연결

3. 가상디스크 내 데이터 수정

  1. 우선 해당 디스크는 만약 우리가 하드디스크 사고 아무것도 안한 상태인 것으로 모두다 0으로 채워져 있을 것입니다. HxD로 확인 해보도록 합시다.

  3. 물리디스크 - Msft Virtual Disk 선택 읽기전용으로 열기는 체크 해제하여 진행 해봅시다.

  4. 아래와 같이 우측 Decoded text 근처를 클릭 한 후 "test" 를 저장

  5. 그래도 저장하고, 정상 저장되면 검정색으로 표시가 됩니다.

  6. VHD를 분리할 경우 연결 해제가 되며, 현 상태는 우리가 하드디스크를 처음 샀을 경우 (포멧도 아무것도 안한 상태) 처음부터 마지막 섹터까지 아무것도 저장 안하고 오직 "test"만 저장한 상태입니다.

정리하면 가상디스크에는 처음부터 마지막까지 모든 bit는 0이고, 처음에 test를 나타내는 아스키코드값에 해당하는 hex 값만 저장한 저장매체를 만들었습니다. 이 저장매체는 아래와 같은 bit 데이터를 가진 저장매체입니다. 0111 0100 0110 0101 0111 0011 0111 0100 0~~~~~0 (t) (e) (s) (t)

  • 아래는 위의 실습으로 생성한 가상디스크 (vhd) 파일이니다. (압축해제하여 다음 실습에 사용)

  • 아직까지 파일 시스템을 이해하지 않았기 때문에 폴더나, 파일 위치 등의 정보는 아무 것도 없는 상태이므로 우선은 이대로 사용하도록 합시다.

3줄 요약

  1. 가상디스크는 USB 처럼 가상의 외부 저장장치 이용하기 좋다.

  2. HxD를 관리자 권한으로 열어서 실제 저장매체에 bit값을 수정할 수 있다.

  3. 가상디스크를 읽기 전용으로 열 수 있다.(나중에 디지털포렌식 2급 자격증 연습 등에 유용)

위와 같이 정상적으로 보이지 않으면 저장한 VHD 파일을 연결해봅시다. 또는 아래와 같은 방식으로 연결가능 합니다. 추가로 읽기 전용 옵션을 체크하면 해당 디스크를 읽기 전용으로 저장할 수 없다. 추후에 다른 사람이 VHD를 공유해주고 포렌식 분석할 일이 있다면 읽기전용으로 해두고 하면 좋지 않을까?

우선 HxD를 관리자권한으로 실행

115KB
test 저장매체.zip
archive