디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. 직접 물리 이미징 생성
  • 1-1) 준비물
  • 1-2) 수동 물리이미징 실습
  • 2. 도구를 이용한 물리이미지 생성
  • 2-1) FTK Imager를 이용한 물리이미지 획득[추천]
  • 2-2) DD를 이용한 물리이미지 획득(참고)
  1. 디지털포렌식과 친해지기
  2. 1. BIT의 저장
  3. 2) 저장매체와 섹터 그리고 물리이미징

2-2) 물리이미징(raw) 실습

Previous2-1) 가상 디스크 설정Next2-3) 물리이미징 수집 도구 만들기(기초)

Last updated 5 months ago

1. 직접 물리 이미징 생성

1-1) 준비물

  • 이전 페이지에서 실습한 가상 디스크 사용법 : 2-1) 가상 디스크 설정

  • 이전 시간에 만들어둔 "test"만 저장되어 있는 가상디스크 이미지 [생성하기 어려울 경우 아래 가상디스크활용] 만약 가상디스크가 인식이 되지 않는 경우 눈으로만 따라하셔도 됩니다.

  • 동일하게 실습 할 수 있는 가상 디스크

1-2) 수동 물리이미징 실습

알고 있는것! 물리이미징은 저장매체의 처음부터 끝까지 모든 영역의 데이터를 그대로 복사하여 파일형태로 만드는 것

  1. 우선 이전에 생성한 가상 디스크가 증거 USB라고 생각하고, 물리 이미징을 해보도록 합시다.

  2. 우선 해당 가상 디스크를 인식

    또는 vhd 파일 우클릭 - 탑재를 하여 연결

  3. 당연하게도 현재 우리가 인식한 가상디스크에는 아무런 데이터 없이 오직 test 아스키코드에 해당하는 데이터만 저장해 두었기 때문에 에러가 날 수 있습니다. 깔끔하게 무시해줍시다.

  4. HxD를 관리자권한 으로 실행

  5. [도구] - [디스크 열기] 에서 인식한 가상디스크를 선택하고 읽기전용 체크를 한 뒤 수락합시다.

  6. Ctrl + A를 눌러 전체 선택을 한 뒤 [복사]

  7. 파일 - 새로 만들기 또는 를 눌러 새 파일을 만들고 Ctrl + V 붙여넣기 한 뒤 저장

  8. 원하는 파일명, 원하는 확장자로 저장 주로 물리이미징 파일의 확장자는 Raw, DD, 001 등을 쓰긴하나.. 당연하게도 정해진 것은 없습니다. 다만 본인이 이것은 어떤 방식으로 물리이미징을 이용하여 생성한 이미지 파일임을 인지하고 있어야 합니다. (아직은 확장자에 관해 고민하지 말도록 합시다.)

  9. 추가로.. 위의 이미지를 해시값을 획득해봅시다. (아래는 참고만 하자. 실습까지 할 필요는 없습니다.)

    1. PowerShell의 get-filehash 로 획득 해당 폴더에서 shift + 우클릭 후 [여기에 PowerShell 창 열기]

      이후 아래 명령어 실행하여 hash.txt 에 결과 저장 > get-filehash "파일명" -algoritm md5 > hash.txt

    2. chatGPT를 이용하여 파이썬 소스로 만들어서 확인 (간단하게 파일 "파이썬으로 해시 계산해주는 소스 알려줘" 를 통해 만든 파이썬 소스로 계산 *전에 Hex Viewer로 만든 소스는 너무 느려서 사용 불가.

  10. 당연하게도 디스크 드라이브에 해시값과, 위에서 생성한 물리이미징 파일의 해시값은 동일해야 무결성을 담보할 수 있기 때문에 해시값 획득은 필수입니다.

만약 개인 USB나 하드디스크를 위와 같은 방식으로 물리이미징을 한다면, 매우 느리거나 제대로 복사가 안되는 것을 확인할 수 있다. 최근 Ctrl + A 해서 복사하고 붙여넣기 할 때 용량이 매우 크기 때문에 커버가 안되는 것이다.

2. 도구를 이용한 물리이미지 생성

2-1) FTK Imager를 이용한 물리이미지 획득[추천]

  • 이전 준비사항에서 설치한 FTK Imager를 활용해볼 것이다.

  • FTK Imager는 상당히 사용이 편리한 무료 이미지 획득 도구이며 기본적인 파일시스템 분석도 잘 해주어, 추후에 계속 활용하는 도구입니다.

  1. 먼저 FTK Imager를 관리자 권한으로 실행.

  2. File - Create Disk Image 를 선택 한 뒤 Physical Drive 선택 후 우리가 연결한 가상디스크를 선택

  3. Create Image 창에서 Add 를 선택 후 Raw (dd) 를 선택. 기본적으로 Raw는 bit 전체를 압축 없이 그대로 복사합니다. 다른 옵션은 공부를 하다보면 자연스럽게 알게 되기 때문에 우선은 확실히 이해하고 있는 부분만 실습하도록 합시다. 추후 Evicence Item Information은 모두 빈값으로 두고 다음

  4. 저장할 경로, 저장하려는 파일명을 지정 그리고 Image Fragment Size 에서 분할하여 저장할 용량을 설정 할 수 있습니다. 우리 이미지는 용량이 적은편 이므로 0으로 지정하고 Finish 하도록 합시다.

  5. Verify images after they are created. 말그대로 물리이미지 만들고 잘 만들어 졌는지 재확인합니다. 즉, 이미지 파일에 대한 해시값 계산을 하게 되는 것입니다. 실제 물리이미지 파일의 경우 매우 용량이 크기 때문에 해시값 계산이 오래 걸립니다. 다만 우리가 설정한 저장매체의 용량은 작으니 체크하고 진행하도록 합시다. (디지털포렌식 2급과 같이 시간이 부족한 경우에는 잘 하지 않는 옵션이나 언제 써야 하는지 정확히 이해하고 사용하도록 합시다. )

  6. 아래와 같이 진행상황이 나오며 환경에 따라 다르지만 최근 정말 넉넉하게 잡아서 대략적으로 1GB에 1분 정도 소모되는 것 같습니다. (SSD냐, HDD냐, USB 2.0이냐, USB3.0이냐, C타입이냐 등등 다양한 요소로 속도 차이가 나니 이러한 인터페이스를 잘 알고 있으면 물리이미징 획득을 조금이라도 빨리 하는데 도움이 됩니다.)

  7. 이미지 파일을 생성한 경로를 확인하면 물리 이미지 파일이 생성되어 있으며, txt로 로그가 있고 MD5 해시값이 있습니다. (추후에 보다 상세히 살펴보도록 하자. ) 당연하게도 우리가 정상적으로 물리이미징을 했다면 위에서 수동으로 물리이미징한 해시값과 동일할 것입니다.

2-2) DD를 이용한 물리이미지 획득(참고)

  1. DD 를 이용한 물리이미지 획득

> dd if="파일명" of="저장할 파일명" bs={용량}

  • if : 입력 파일이나 디바이스를 지정

  • of: 출력(저장)할 파일명

  • bs : 한 번에 읽고 쓸 블록 크기를 지정합니다. (bytes 용량으로 지정)

    • bs가 작으면(512 - 1섹터) : 느리지만,세밀한 작업가능, 작은 블록 크기에서 정확한 오류 검출이 용이

    • bs가 크면(4M) : 데이터 처리 속도가 빨라집니다.

3줄 요약

  1. 저장매체의 0번 섹터부터 마지막 섹터까지 전체 데이터를 복사해서 파일로 만드는 것

  2. HxD로도 가능하나 현실적으로 저장매체의 용량이 매우 크기 때문에 전용 도구를 사용하는 것이 좋습니다.

  3. 이미징 획득 후 해당 물리이미지 파일의 Hash 값을 획득하여야 하며, 원본의 hash 값과 사본의 Hash 값이 같아야 합니다.

*이번 시간에는 Raw 형태의 물리이미징만 획득하였으나, 파일시스템 분석까지 마친 후 실무에서 활용하는 다양한 이미징에 대해서 알아봅시다.

설치가 안되어 있으면 아래 파일 포스팅을 참고하여 다운 받아서 설치

DD.exe - 굉장히 역사가 오래된 데이터 복사 프로그램 [사용법 및 다운로드] DD.exe 가 있는 폴더를 환경변수에 추가하거나, DD.exe 가 있는 폴더에서 명령어를 실행해서 물리이미지 획득

윈도우에서 물리드라이브를 지정할 때는 \\.\PhysicalDrive{번호} 로 지정하며 번호를 확인하는 방법은 여러가지가 있습니다. [디스크 관리] [wmic 명령어를 통해서 확인가능] > wmic diskdrive get DeviceID, Model, Size > wmic diskdrive get DeviceID, Size

http://www.chrysocome.net/dd
2. FTK Imager
115KB
test 저장매체.zip
archive