증거 USB 이미징 순서 질문

投稿した質問数 2

0

안녕하세요 이현호님!

개인적인 일이 있어서 답변이 조금 늦었습니다.

우선 '증거 USB 내에 실제 분석해야할 실제 이미지 파일이 있다고 했을 때' 라는 말씀이 약간 오해의 소지가 있어서 확인을 해야할것 같긴한데,
'증거 원본 USB'라는 의도로 말씀하신걸까요 ?

아니면 '이미지 파일이 있다고 했을때'라는 말이 정말 말그대로 USB안에 별다른 파일이 없고, 이미지 파일만 들어있는 경우를 말씀하시는걸까요? 질문하신 의도에 따라 답변이 조금 달라지기 때문에 확인이 필요한 내용이긴 합니다만, 우선 당장 내일이 시험이시니 간략하게 정리를 해드리면

• 참고 https://inf.run/TegLC

1. 기본(증거원본 USB인 경우)

   1. 제공된 USB 자체가 용의자의 소유이거나 용의자에 대해 압수수색을 진행하던중 발견한 USB인 경우로, USB자체가 증거인 경우입니다.

   2. 이 경우 순서는

      1. 쓰기방지

      2. USB 연결

      3. 이미징(e01 or DD)

      4. FTK Imager로 이미징한 파일 확인(파티션 복구 여부 판단을 위해서)

      5. 파티션복구가 필요한 경우

         1. 파티션 복구를 위해 DD파일이 필요하므로, 최초 이미징한 파일이 e01인 경우에는 e01파일은 원본으로 해서 DD파일을 추가로 이미징.

         2. 방금 이미징한 파일을 hxd에서 불러와서 구조를 확인하고 문제가 있는 파티션 복구

         3. 수정한 이미지 파일을 다시 FTK Imager 불러와서 복구 여부 확인

         4. 복구된 이미지 파일을 Autopsy에 불러와서 분석 진행

      6. 파티션 복구가 필요없는경우

         1. 이미지 파일을 Autopsy에 불러와서 분석진행

   • 위의 순서가 가장 기본이라 생각해주시고, USB가 증거 원본이 아닌 경우는 위의 기본 순서에서 생략되는 부분들이 있다고 생각해주세요

2. 증거 USB 원본이 아닌 경우

   1. 이 경우는, 시나리오상 수사관이 어떤 내용을 발견후에 '이미징하였다' 등의 표현을 사용하면서 '수사관이 소지하고 있던 USB에 저장하였다' 등의 내용을 보고 증거 원본이 아닌것을 추정할수 있습니다. 이 부분을 잘 보셔서 증거 원본인지 사본인지를 먼저 판단을 하셔야합니다.

   2. 이 경우 순서는

      
      

      1. USB 연결

      2. USB에 저장된 이미지파일(e01 or dd 등)을 분석용 노트북으로 '복사'

      3. FTK Imager로 복사한 이미지 파일 확인(파티션 복구 여부 판단을 위해서) --- ▼ 이하 동일

      4. 파티션복구가 필요한 경우

         1. 파티션 복구를 위해 DD파일이 필요하므로, 최초 이미징한 파일이 e01인 경우에는 e01파일은 원본으로 해서 DD파일을 추가로 이미징.

         2. 방금 이미징한 파일을 hxd에서 불러와서 구조를 확인하고 문제가 있는 파티션 복구

         3. 수정한 이미지 파일을 다시 FTK Imager 불러와서 복구 여부 확인

         4. 복구된 이미지 파일을 Autopsy에 불러와서 분석 진행

      5. 파티션 복구가 필요없는경우

         1. 이미지 파일을 Autopsy에 불러와서 분석진행

   • 증거 원본이 아닌 경우와 증거원본인 경우의 차이는 처음에 쓰기방지후 이미지 생성을 하느냐의 차이라고 생각해주세요. 원본은 당연히 쓰기방지후에 이미지 파일을 생성을 해야하고, 사본의 경우에는 이미 시나리오상 수사관이 이미징을 한 상태등으로 시나리오에서 알려주기때문에 사본 이미지를 단순히 수사관의 가지고 있던 USB에 담아서 우리에게 주는 것에 불과합니다. 그 경우 원본이 아니기때문에 쓰기방지나 이미징 작업이 필요가 없습니다.

3. 증거 원본인지 사본인지 모를경우

   1. 시나리오를 읽어봐도 이게 증거원본인지 사본인지 모를 경우가 있을수 있는데,

      
      그 경우에는 증거원본이라고 생각하고 과정을 진행해주세요.
      이미징 후에 FTK Imager로 들어갔을때 수많은 파일 대신에, 이미지 파일 1개 또는 2개 정도만 있는 경우에는 앞에서 본것처럼 수사관등이 이미 이미징을 한 상태일 가능성이 매우 높은데, 어쨌든 그 파일을 추출한 다음 다시 FTK Imager로 열어서 파티션 복구 여부 등에 대한 판단하는 과정을 반복해야하는 약간의 번거로움이 있지만, 증거 원본인지 아닌지 확신이 들지 않는다면, 원본이라 생각하고 진행해주세요~

증거원본/사본 판단은 어떻게 보면 매우 간단하지만, 처음에는 정말 헷갈리는 부분이기도 합니다.
시나리오를 최대한 집중해서 읽어보시면 도움이 되실거예요~

0

안녕하세요, 인프런 AI 인턴입니다.

이현호님께서 증거 USB의 이미지 생성 절차에 대해 정확한 확인을 원하시는군요. 디지털 포렌식에서의 이미징 순서는 매우 중요하며, 무결성을 보장하기 위해 올바른 절차를 따르는 것이 필수적입니다. 아래에 증거 USB 이미징의 일반적인 절차를 정리하였습니다:

1. 쓰기 방지 설정: EnCase의 FastBloc SE 또는 레지스트리 설정을 통해 증거 USB에 쓰기 방지를 설정합니다. 이는 데이터를 보호하기 위한 첫 번째 단계입니다.

2. 증거 USB 연결: 쓰기 방지 설정이 완료된 후 증거 USB를 컴퓨터에 연결합니다.

3. FTK Imager로 증거 USB를 e01로 이미징: FTK Imager를 사용하여 증거 USB를 선택하고 E01 포맷으로 이미지를 생성합니다. 이때, 해시 값을 생성하여 원본 무결성을 확인합니다.

4. 이미징 파일 확인: 생성된 e01 파일을 FTK Imager로 열어, 모든 볼륨이 정상적으로 인식되는지 확인합니다. 만약 파티션 복구가 필요하다면 다음 단계로 넘어갑니다.

5. 추가 이미지 생성 (필요할 경우): e01 이미지 파일에서 복구가 필요하다면, e01 파일을 원본으로 DD 형식으로 다시 이미징합니다. 이때 FTK Imager의 이미지 소스를 “Image File”로 선택하여 복구작업을 수행합니다.

6. 증거 USB 연결 해제: 모든 이미징 작업이 완료되면 증거 USB를 분리하고, 쓰기 방지를 해제합니다. 이후 필요한 복구 및 분석 작업을 계속 진행합니다.

위 설명이 이현호님이 계획한 절차와 대부분 일치하며, 명확한 작업을 위해 각 단계마다 꼼꼼하게 확인하시기 바랍니다.

관련된 유사한 질문과 답변을 참조하시면, 추가적으로 도움이 될 것입니다:

• “FTK Image로 USB 사본 생성 후 증거 USB 분리하나요??” - 디지털 포렌식 이미징 절차에 대해 다른 질문자들이 주고받은 설명이 포함되어 있습니다.
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.