인프런 커뮤니티 질문&답변
작성한 질문수
무결성 및 VDI 환경 디스크 이미징에 대해서
작성
·
361
퀴즈
디지털 포렌식에서 컴퓨터의 디스크와 메모리를 구분하는 가장 중요한 이유는 무엇일까요?
두 저장 장치의 용량이 다르기 때문입니다.
전원이 꺼졌을 때 데이터가 유지되는지 여부가 다르기 때문입니다.
파일 시스템 종류가 다르기 때문입니다.
물리적인 형태가 다르기 때문입니다.
답변 1
2
훈지손
지식공유자
안녕하세요! 강의 들어주셔서 감사드립니다.
정말 좋은 질문이네요!
1. FTK Imager를 조사 대상 PC에 설치하면 당연히 무결성이 훼손됩니다.
설치 과정에서 생겨나는 파일들, 실행했을 때 아티팩트가 변화하는 것들이 조사 대상 PC에서 일어나면 안되겠죠. 일반적으로 분석관의 PC에 FTK Imager 등의 이미징 프로그램을 설치하고, 하드디스크를 연결하여 이미징하는 방법을 택합니다.
FTK Imager를 이용한 이미징 방식을 소프트웨어 이미징이라고 부릅니다. 추가적으로 복제를 하거나, 하드웨어 이미징을 하는 방법도 있는데요. 아래 블로그에서 잘 소개해주고 있으니 참고해보시면 좋을 것 같습니다.
http://forensic-proof.com/archives/3613
2. 직접 경험해본 바는 없으나 사례가 있을 것으로 보입니다. 관련된 연구논문이 2013년에 발표된 것이 있으니 참고해보시면 좋을 것 같습니다.
https://www.koreascience.or.kr/article/JAKO201317664651426.pdf