인프런 커뮤니티 질문&답변

안녕하세요! 강의 들어주셔서 감사드립니다.
정말 좋은 질문이네요!

1. FTK Imager를 조사 대상 PC에 설치하면 당연히 무결성이 훼손됩니다.
설치 과정에서 생겨나는 파일들, 실행했을 때 아티팩트가 변화하는 것들이 조사 대상 PC에서 일어나면 안되겠죠. 일반적으로 분석관의 PC에 FTK Imager 등의 이미징 프로그램을 설치하고, 하드디스크를 연결하여 이미징하는 방법을 택합니다.

FTK Imager를 이용한 이미징 방식을 소프트웨어 이미징이라고 부릅니다. 추가적으로 복제를 하거나, 하드웨어 이미징을 하는 방법도 있는데요. 아래 블로그에서 잘 소개해주고 있으니 참고해보시면 좋을 것 같습니다.
http://forensic-proof.com/archives/3613

2. 직접 경험해본 바는 없으나 사례가 있을 것으로 보입니다. 관련된 연구논문이 2013년에 발표된 것이 있으니 참고해보시면 좋을 것 같습니다.
https://www.koreascience.or.kr/article/JAKO201317664651426.pdf