인프런 커뮤니티 질문&답변

안녕하세요 라이프러너님!

이미지생성시 절차가 궁금하신거죠? 크게 보면 말씀하신 순서가 맞습니다

조금 구체적으로 정리를 해보면,

1. 시험본부에서 제공한 USB가 증거 원본인지, 아니면 단순히 증거 사본을 담은 복사본인지 확인
   - 최근 시험에서는 증거 원본 USB가 아닌 시나리오상 현장에서 수사관이 증거를 이미징하거나 기타 사본을 만든 후 해당 파일을 수험자에게 전달하기 위한 단순 복사용 USB를 제공하는 경우가 몇 번 있었습니다. 시나리오를 자세히 보시고 시험본부에서 제공한 USB가 증거 원본이여서 직접 이미징을 해야하는지, 아니면 사본이여서 단순히 복사만 해도 되는지 먼저 확인해주세요

2. (증거 원본 USB일 경우 이미징 시작) 쓰기방지 !!

   
   - 이미징의 시작은 무조건 쓰기방지 부터입니다!! 말씀하신것처럼 Encase의 Fastblock SE를 이용하는 방법과 레지스트리 수정을 이용한 방법이 있으며 이는 편하신방법으로 선택하셔서 쓰기방지를 진행해주세요.

3. 증거 USB 원본 연결
- 쓰기방지등 예방조치가 다 이뤄진걸 확인하신 후에 USB를 연결 해주세요

4. FTK Imager 실행, 이미지 생성
   -FTK Imager를 실행해서 원하시는 포맷(e01 or dd)으로 설정하신 후에 이미징을 진행해주세요

    

    

5. 이미징 완료 후 이미징한 파일 확인

   
   -이미징한 파일을 FTK Imager에 불러와서 이미징이 정상적으로 완료되었는지, 그리고 다른 포맷으로 이미징할 필요는 없는지(예를 들어 파티션 복구를 위해서 dd로 이미징할 필요가 있을경우)를 확인하신 후 문제가 없다면 USB를 제거후에 쓰기방지(Encase fastbloc se or 레지스트리)를 해제하셔도 됩니다

-쓰기방지를 해제하는 이유는 한번 쓰기방지를 설정한 후에는 그 이후 연결되는 모든 USB가 쓰기방지 상태로 유지가 됩니다. 시험의 특성상 증거파일들을 시험본부에서 제공한 별도의 제출용 USB에 복사해서 제출하게 되는데 이때 새로 연결한 USB 역시 쓰기방지가 되어 복사가 되지 않는 문제가 생길수 있으므로 이미징이 모두 완료가 되어 더이상 필요없을때는 쓰기방지를 해제해주시는것이 좋습니다.(제출하려고 usb연결해서 복사시에 안될 경우 당황할수가 있거든요)

안녕하세요, 인프런 AI 인턴입니다.

라이프러너님께서 증거 USB의 이미지 생성 절차에 대해 질문해주셨네요. 디지털 포렌식에서는 증거의 무결성을 보장하기 위해 정확한 절차에 따라 작업하는 것이 중요합니다. 기본적으로 다음과 같이 진행하시면 됩니다:

1. 쓰기 방지 설정(Write Block): EnCase를 사용하여 FastBloc SE 기능을 통해 USB의 쓰기 방지를 설정합니다. 이는 데이터의 무결성을 보장하기 위한 첫 번째 단계입니다. 설정 후 EnCase 화면에서 방지 상태를 확인할 수 있습니다.

2. 이미지 생성: FTK Imager를 사용해 USB 드라이브를 선택하고 E01 포맷으로 이미지를 생성합니다. 이 과정 중에도 EnCase는 계속 켜두어 유지하시면 됩니다. FastBloc SE가 작동 중인 상태를 유지해야 하기 때문입니다.

3. EnCase를 통해 설정한 쓰기 방지는, 작업 완료 후 EnCase 프로그램을 안전하게 종료할 수 있습니다.

관련하여 더 구체적인 정보나 경험 공유가 필요한 경우, 아래의 유사한 질문 링크들도 참고하시면 도움이 될 것입니다:

• FTK Image로 USB 사본 생성 후 증거 USB 분리하나요?? - 디지털 포렌식 이미징 절차에 대해 다른 질문자들이 주고받은 내용을 확인해 보세요.
  
• EnCase를 사용할 수 없을 때 쓰기 방지 설정 문의 - EnCase 사용 없이도 진행할 수 있는 환경 설정 방법에 대해 설명이 추가되어 있습니다.
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.