[Tool] FTK Imager

FTK Imager

(1) FTK Imager란?

  • 포렌식의 가장 기본이 되는 도구로, 디스크 이미징 작업에 많이 활용

  • 이 외에도 이미징 작업에 많이 쓰이는 소프트웨어로 EnCase와 dd 도구가 있으며, 물리적 하드디스크 이미징 전용 장비로는 Road Master, Rapid Image 등

 

1-1. 논리적 이미징과 물리적 이미징

  • 논리적 이미징 방식은 다른 하드디스크에 이미지 파일 (001,dd 등 확장자)로 저장이 되며, 실제 하드디스크와 같은 용량을 차지

  • 물리적 이미징 방식은 하드디스크를 다른 하드디스크에 그대로 복제하는 것을 말하며, 복사될 하드디스크는 원본 디스크보다 용량이 같거나 커야 됨

  • 논리적 방식과 물리적 방식 모두 복사될 하드디스크는 충분한 와이핑 후 복사를 해야 무결성을 지킬 수 있음

※ 디스크 와이핑 : 하드디스크나 메모리 등 저장매체에 기록된 데이터를 완전히 소거하는 논리적인 방법

 

 

FTK Imager 다운로드 : https://accessdata.com/product-download/ftk-imager-version-4-2-1

 

FTK Imager version 4.2.1

AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.

accessdata.com

FTK Imager는 제작사 다운로드 페이지에서 이름과 이메일 주소를 등록하면 다운로드 링크를 등록한 이메일로 보내준다.

 

 

1-2. FTK Imager 인터페이스

 

[그림 1] FTK Imager 인터페이스

 

  • Evidence Tree : 계층적 트리구조로 추가한 증거 항목을 보여줌

  • File List : Evidence Tree에서 선택된 항목에 있는 파일과 폴더를 보여줌

  • Viewer : Preview Mode 옵션인 Natural, Text, Hex 선택에 따라 선택된 파일의 내용을 보여줌

  • Custom Content Sources : 이미지에 포함된 내용을 보여줌

  • Properties / Hex Value interpreter : Evidence Tree나 File List에서 선택된 객체의 다양한 정보를 보여주고, 뷰어에 선택된 16진수 값을 10진수와 가능한 날짜, 시간 값으로 변환 가능

1) 이미징 생성

 

 

[그림 2] File > Add Evidence Item

 

[그림 3] Select Source

 

FTK Imager 상단의 File > Add Evidence Item 메뉴를 클릭하거나, File 메뉴 바로 아래에 있는 플러스 아이콘을 클릭하면 위와 같은 화면이 나오게 된다.

 

  • Physical Drive : 실제 물리적으로 연결된 하드 드라이브의 목록을 보여줌

  • Image File : 이미징 된 파일들을 불러올 수 있는 메뉴

  • Logical Drive : 논리 드라이브를 보여줌

  • Contents of a Folder : 폴더를 선택할 때 사용

 

[그림 4] 증거 추가 화면

 

Physical Drive를 눌러 원하는 물리적인 하드 드라이브를 FTK Imager에 마운팅 시켜보도록 하자.

 

실제 물리적인 하드 드라이브를 마운팅한 다음, Evidence Tree에 원하는 파티션 또는 물리적 드라이브를 선택하고 우클릭을 하면  위와 같은 화면이 나오게 되면서 총 5가지의 메뉴가 나타난다.

 

  • Remove Evidence Item : 추가한 아이템을 제거

  • Verify Drive/Image : 검증을 위한 작업이 실행됨

  • Export Disk Image : 이미징 작업을 위한 메뉴

  • Image Mounting : 실제 마운팅을 실행 시켜주는 작업 메뉴

  • Export Directory Listing : 해당 드라이브의 모든 파일과 폴더 구조를 추출해주는 메뉴

 

[그림 5] 증거 추출 기본 화면

 

Export Disk Image 메뉴를 선택하면 위와 같은 화면이 나타나게 된다.

 

Add 메뉴를 누르기 전에,  Add 아래에 있는 Verify images after they are created 메뉴를 선택하여 이미지 검증을 진행해야 한다. (디지털 포렌식에서 무결성은 매우 중요하기 때문에)

 

[그림 6] 이미지 타입 선택

 

Add 메뉴를 누르게 되면 저장할 이미지 타입이 나오게 된다.

 

특정 상황을 제외하고는 기본적으로 Raw (dd)나 E01 파일을 주로 선택한다.

 

[그림 7] 사건 번호 / 분석관 등 내용

 

다음을 누르면 사건 번호나 증거 번호, 분석관, 메모 등 여러 정보들을 기술하는 화면이 나온다.

 

선택 사항이므로 기술하고 싶은대로 기술하면 된다.

 

[그림8] 저장 위치 / 이미지 이름 / 암호화

 

다음을 누르면 저장 경로와 저장할 이름, 암호화 여부에 대한 화면이 나온다.

 

Image Fregment Size를 통해 분할 저장될 크기가 정해지므로, 용량이 작은 디스크라면 0으로 두어 하나의 파일로 이미징이 되도록 한다.

 

경로와 이미지 이름, 기타 내용을 모두 확인한 뒤에 Finish 버튼을 누르면 이미징이 시작되고 하나의 이미지 파일과 해쉬 값, 증거 번호 등이 적힌 텍스트 파일이 생성된다.

# Reference

 

http://www.yes24.com/Product/Goods/38136197

저작자표시

'Tool' 카테고리의 다른 글

[Tool] Volatility  (0) 2020.05.22
[Tool] 디지털 포렌식 유용 도구 소개 (Digital Forensics Tool)  (0) 2020.05.11
[Tool] HxD Editor  (0) 2020.03.01

+ Recent posts

티스토리툴바