인프런 커뮤니티 질문&답변
작성한 질문수
이미징 방법(기초)
해결된 질문
작성
·
64
0
수강생입니다!
기초적인 질문일 수 있지만 너무 헷갈려서 질문드려요!ㅠㅠ
실기시험때 USB로 사건 전자정보 파일을 제공하는건지 아님, PC안에 이미지 e01 파일로 제공이 되는건지
또 USB 자체를 제공받았을때는 첨에 쓰기방지후에 FTK Imager 프로그램으로 피지컬로 열고 해당 USB
선택해서 e01 파일로 이미징을 뜨고 그파일을 해시값을 딴다음에 사본보관을 따로 해야하는건지? 보관하라는
말이없다면 e01 해당 파일은 제출할 필요가 없는건지?
또 그다음 그 파일을 이미지로 열어서 Unrecongnized 등으로 확인이 불가 할 시에는 e01 파일을 다시
FTK Imager 프로그램으로 로지컬- dd파일로 작업을 하는게 순서상 맞는건지 제대로 이해한게 맞는지
헷갈립니다.
그리고 시험에서 e01 파일을 첨부터 주는경우는 따로 별도로 위에 처럼 피지컬로 새로 이미징 할 필요없이
바로 FTK Imager 열어서 확인하면 되는건가요? 시작할때 쓰기방지 작업은 필요없는지?
ㅠㅠ제가 이해한게 맞는지 순서가 잘못된게 있는지 답변해주시면 감사하겠습니다.
답변 3
1
안녕하세요 bug5003님!
1. 제공되는 전자정보 형태
- 시험장에서 제공하는 사건의 증거는 2가지로 나눠볼수 있습니다.
1) 증거 USB 원본을 제공하는 경우
- 시나리오상 수사관이 사건 현장에서 USB를 발견했고, 그렇게 수집한 USB를 제공하는경우로 가정
예) A경찰청 사이버범죄수사대 소속 B 경위는 현장의 책상 서랍에서 USB 1개를 발견해서 수집했다
- 이 경우 제공된 USB는 증거 원본이므로 사본을 만들어서 분석을 진행해야하는데
쓰기방지가 설정된 상태에서 USB를 연결하고 이미징을 진행해서 사본 이미지를 생성해야합니다.
- 과거에는 시나리오상 이렇게 원본을 발견하고 그 USB를 수험자에게 제공하는 형태로
시험이 진행됐었으나, 최근에는 이렇게 원본이 아닌 사본을 제공하는 형태로 바꼈습니다.
2) 사본을 제공하는 경우
- 시나리오상 수사관이 사건 현장에서 PC,노트북,USB등을 발견하고 해당 부분에 대해서 이미징의
방식으로 수집을 했는데, 그렇게 생성한 이미지 파일은 사본이고, 그 사본 파일이 담긴 USB를
제공하는 경우.
예) A 경찰청 사이버범죄수사대 B경위는 현장에서 노트북을 발견하고 (중략) 이미징하여 수사관의
USB에 저장하였다. >> 원본이 아닌 사본 이미지 파일!
- 이렇게 사본이미지 파일이 저장된 USB를 수험자에게 제공하며, 이는 사본이기때문에
별도의 쓰기방지나 추가 이미징 작업이 필요없기때문에 USB를 연결후 해당 이미지 파일을
복사해서 분석용 노트북에 저장!
- 최근에는 위와 같은 방법으로 증거 파일을 제공하고 있습니다. 다시 말해서 쓰기방지 및 이미징
과정이 생략이 되겠죠!
- 이러한 증거파일의 제공 방법은 언제든지 변경이 될 수 있으므로 반드시 시나리오를 꼼꼼히 읽으셔서 증거원본 USB를 제공하는지, 아니면 이미징한 사본을 제공하는지를 파악하셔서 그에 맞게 진행을 해주세요~
2. 증거 USB 원본이 제공된 경우 진행과정
-시나리오상 증거 USB 원본을 제공한것으로 된 경우에는 아래 절차를 꼭 지켜주세요
1) 쓰기방지 설정 : Encase Fastbloc SE 또는 레지스트리 설정으로 쓰기방지 설정
2) USB 연결
3) FTK Imager 등의 이미징 프로그램으로 이미징
- FTK Imager의 경우 이미징 하기 > Physical > 해당 USB 선택 > 이미징 > hash 값 확인
- 최초 이미징한 파일은 우선 보관을 해주세요
> 문제나 시험관련 지시사항에 이미징한 파일을 제출하라고 한 경우 : 최초 이미징한 e01파일을 제출
> 이미지 파일 제출에 대한 별도의 언급이 없다면 제출 안하셔도 됩니다.
(답안제출용 USB의 용량이 이미지 파일을 담기에는 작거나, 빠듯할수 있습니다~)
> 만약 파티션 복구 등이 필요한 경우 최초 이미징한 파일을 복사해서 이미징 파일의 사본으로
파티션 복구 및 분석을 진행 해주세요.
3. 파티션 복구
1) 이미징한 파일을 FTK Imager등으로 불러와서 확인
- 말씀하신것처럼 FTK Imager등으로 불러와서 확인했을때 볼륨에 정상 접근이 되는지 확인하고
만약 Unrecognized 등으로 표시가 된다면 파티션 복구가 필요합니다.
2) DD파일로 재이미징
- 최초 이미징시 E01으로 이미징 하셨다면, 파티션 복구시에는 반드시 DD(raw)파일이 필요하므로
다시 이미징을 해줘야합니다.
- DD 이미징시에 두가지 방법이 있는데
① 원본 USB를 연결해서 DD로 이미징
- 처음 이미징할때와 동일하게 쓰기방지설정 > FTK Imager > physical > 이미징포맷을 DD로
② E01 이미지 파일이 있는 경우
- FTK Imager > Image file(Physical이 아닌 이미지 파일을 원본 소스로 선택) > 이미징 포맷을 DD로
※ 질문에 말씀하신 로지컬-DD파일 의 순서가 아닙니다! E01을 원본 소스로 재이미징하실때는
로지컬이 아닌 Image File을 선택해주세요 !
3) Hxd로 파티션 복구
- 재이미징하여 저장된 dd 파일을 hxd로 불러와서 복구진행!
4. 기타 질문에 대한 답변
1) e01 파일을 첨부터 주는경우는 따로 별도로 위에 처럼 피지컬로 새로 이미징 할 필요없이
바로 FTK Imager 열어서 확인하면 되는건가요? 시작할때 쓰기방지 작업은 필요없는지?
> 네 맞습니다! 시나리오상 사본 이미지 파일을 제공하는 경우라면,
제공된 USB에서 이미지 파일을 분석용 노트북에 복사해서 가져오시면 되며,
쓰기방지, 이미징의 작업이 생략된다고 생각해주세요.
5. 정리
1) 시나리오 확인
- 시나리오상 증거 USB 원본을 주는지, 아니면 사본 이미지 파일을 주는지 확인
2) 증거 USB 원본을 제공하는 경우
① 쓰기방지설정
② USB 연결
③ 이미징
- FTK Imager 실행 > 이미지 생성(Create Image) > 원본소스선택(Physical)
>이미지 포맷선택(E01) > 이미징 진행 > 해시값 확인
④ 생성한 이미지의 확인(파티션 복구여부)
- FTK Imager로 방금 생성한 이미지 파일 불러온 뒤, 모든 볼륨이 정상적으로 접근이 가능한지 확인
- Unrecognized 등 접근 불가한 볼륨이 있는 경우 파티션 복구 필요
⑤ 파티션 복구를 위한 재이미징(파티션 복구가 필요없는 경우 생략)
- FTK Imager 실행 > 이미지 생성 > 원본소스선택(Image file / 이미 생성한 e01을 원본으로 ~)
>이미지 포맷선택(DD) > 이미징 진행 > 해시값 확인 X
※ 우리에게 중요한 hash값은 최초 이미징한 e01파일의 해시값입니다! 재이미징한 파일의 해시값은
신경안쓰셔도 됩니다!
⑥ 생성한 dd 이미지파일을 hxd로 불러와서 파티션 복구 진행
⑦ 복구가 정상적으로 완료됐는지 FTK Imager에서 확인
⑧ 파티션이 복구됐다면 이미지 파일을 autopsy등으로 분석 시작
3) 사본 이미지파일을 제공하는 경우
- 증거원본을 제공하는 경우의 ①~③ 생략 / 이후 단계 동일.
④ 제공된 USB 연결 > 이미지 파일 복사해서 분석용 노트북에 붙여넣기
⑤ 생성한 이미지의 확인(파티션 복구여부)
- FTK Imager로 방금 생성한 이미지 파일 불러온 뒤, 모든 볼륨이 정상적으로 접근이 가능한지 확인
- Unrecognized 등 접근 불가한 볼륨이 있는 경우 파티션 복구 필요
⑥ 파티션 복구를 위한 재이미징(파티션 복구가 필요없는 경우 생략)
- FTK Imager 실행 > 이미지 생성 > 원본소스선택(Image file / 이미 생성한 e01을 원본으로 ~)
>이미지 포맷선택(DD) > 이미징 진행 > 해시값 확인 X
※ 우리에게 중요한 hash값은 최초 이미징한 e01파일의 해시값입니다! 재이미징한 파일의 해시값은
신경안쓰셔도 됩니다!
⑦ 생성한 dd 이미지파일을 hxd로 불러와서 파티션 복구 진행
⑧ 복구가 정상적으로 완료됐는지 FTK Imager에서 확인
⑨ 파티션이 복구됐다면 이미지 파일을 autopsy등으로 분석 시작
0
빠른 답변 ㅠㅠ감사합니다. 위 내용은 이해했습니다. 추가적으로 그럼 e01 파일을 dd파일로 복구해야할때는 제공된 usb자체를 첨부터
피지컬로선택후 - dd(raw) 파일로 이미징해도 되는건지 아님 e01파일을 로지컬로 선택후 dd로 해야되는건지 헷갈립니다.
0
안녕하세요, 인프런 AI 인턴입니다. bug5003님!
디지털 포렌식 시험과정에서 자료를 입수하고 처리하는 절차가 혼란스러울 수 있습니다. 여기서는 두 가지 중요한 상황에 대해 설명드리겠습니다.
USB로 원본 증거를 제공받는 경우:
- 쓰기방지 설정: USB에 직접 접근하기 전에 항상 쓰기 방지를 설정하여 원본 데이터의 무결성을 유지합니다.
- 이미지 캡처: FTK Imager를 사용하여 USB를 ‘Physical Drive’로 열어 e01 형식으로 이미징합니다. 이 과정에서 해시값을 산출하여 무결성을 확인합니다.
- 사본 보관: 별도로 명시되지 않는 한, 직접 생성한 e01 파일(사본)은 최종 분석 결과물로서 제출하지 않을 수 있습니다. 그러나 시험 지시사항에 따라 다를 수 있으므로 주의가 필요합니다.
- Unrecognized 파티션: e01 파일에서 데이터가 인식되지 않는다면, FTK Imager를 통해 다시 “Logical evidence file” (dd 포맷)로 변환하여 접근을 시도합니다.
- 쓰기방지 설정: USB에 직접 접근하기 전에 항상 쓰기 방지를 설정하여 원본 데이터의 무결성을 유지합니다.
이미지 파일(e01)이 제공되는 경우:
- 파일 바로 열기: FTK Imager를 이용해 제공된 e01 파일을 직접 열어 분석을 시작합니다. 이미 원본이 아닌 사본이 제공되는 상황이라면, 쓰기 방지 등의 작업 없이 바로 분석이 가능합니다.
- 파티션 확인: e01 파일에서 파티션이나 데이터 상태가 손상되어 읽히지 않을 경우, 논리적인 관점으로 dd 파일을 다시 생성하여 접근성을 높일 수 있습니다.
- 파일 바로 열기: FTK Imager를 이용해 제공된 e01 파일을 직접 열어 분석을 시작합니다. 이미 원본이 아닌 사본이 제공되는 상황이라면, 쓰기 방지 등의 작업 없이 바로 분석이 가능합니다.
이와 관련한 추가적인 내용으로는 “이미지 생성 및 해시 조사 관련 문의” 게시글이 있습니다. 여기에서는 이미지 파일 제공 시의 절차와 각 파일 포맷의 사용 방법에 대해 더 자세히 다루고 있으니 참고하시면 좋을 것입니다.
항상 지시사항을 철저히 검토하시고, 시험장의 안내에 따라 절차를 수행하시기 바랍니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
bug5003님! nstyxn@gmail.com 으로 이메일 한번만 주시겠어요 ?