디스크/드라이브 불러 탐색
1. File > Add Evidence Item
2. 넷 중 하나 선택, 여기서는 D 드라이브만 볼거라서 logical 선택
- Physical Drive (피지컬 드라이브)
- 하드디스크/SSD 전체를 통째로 이미지
- 파티션, 삭제된 파일, 여유 공간 포함
- 포렌식 목적이면 대부분 이걸 선택
- Logical Drive (로지컬 드라이브)
- 운영체제에서 보여주는 C:, D: 같은 드라이브 단위만 이미지
- 삭제된 파일이나 빈 공간은 포함 안 됨
- Image File (이미지 파일)
- 기존 디스크 이미지를 다시 불러오거나 분석할 때 선택
- 새로 이미지를 만들 때는 다른 옵션(Physical/Logical)을 먼저 선택
- Contents of a Folder (폴더의 컨텐츠)
- 특정 폴더 안의 파일만 이미지
- 백업용이나 간단한 증거 수집용
3. 해당하는 디스크 선택 후 Finish
4. 화면 오른쪽 아래는 파일의 내용을 보여주는 Hex 값, 그 오른쪽에는 Hex 값을 해석한 ASCII 문자로 해석한 값(해석 불가능한 값은 . 으로 표시)
5. 폴더는 메타데이터, 안에 어떤 파일/폴더가 있는지 기록한 값(디렉터리 엔트리)이 나옴
이미지 파일 생성
1. File > Create Disk Image
2. Physical Drive, Logical Drive, Image File, Contents of a Folder 넷 중 하나 선택 (Fernico Device는 특별한 포렌식 하드웨어가 있는 경우에만 선택)
3. 해당하는 디스크 선택 후 Finish
cf) 삭제 파일 확인하려면 Physical Drive를 선택해야 함.
4. 셋 중에 필요한 것 선택, 첫 번째꺼만 선택해도 됨. 여기서는 파일이 만들어지는게 궁금해서 1,3번 체크
- Verify images after they are created
- 이미지가 제대로 만들어졌는지 무결성 검증
- 디스크 데이터와 이미지 파일을 비교해 오류나 손상 여부 확인
- Precalculate Progress statistics
- 이미지 생성 중에 진행률과 통계(몇 % 완료, 속도 등)를 미리 계산
- Create directory listings of all files in the image after they are created
- 이미지 생성 후 디스크 안의 파일 목록을 텍스트/보고서 형태로 생성
5. Add 클릭 후, 넷 중에 선택, 여기서는 가장 많이 사용되는 방식인 E01 선택
- Raw (DD):
- 디스크를 있는 그대로 1:1 복제
- 메타데이터나 압축 없이 순수 데이터만 저장
- SMART:
- FTK Imager에서 지원하는 자동화된 검사/추적 기능 포함 포맷
- 보통 전문 포렌식 장비에서 사용
- E01:
- 복사하면서 압축/무결성 체크 가능 → 안전하게 관리
- 포렌식에서 가장 많이 사용
- E01 파일을 분석, 관리, 고급 기능 사용하려면 EnCase가 필요(유료)
- AFF:
- 오픈소스 포렌식 이미지 포맷
- 압축, 무결성 체크, 메타데이터 저장 가능
- 이미지 만들고 분석까지 무료로 가능
6. 사건 설명 적는 부분
7. 이미지를 저장할 폴더와 이미지 파일 이름 작성(확장자 제외)
- (이미지 저장할 폴더는 덤프할 디스크와 같은 곳에 존재 X)
8. Image Fragment Size: 하나의 이미지 파일을 쪼개는 크기, 0으로 설정하면 디스크 전체를 하나의 이미지 파일로 생성
9. Compression: 압축 정도, 9에 가까울수록 용량 ↓ but 만드는 시간 ↑
(여기서는 기본으로 설정된 1500, 6으로 설정)
10. Start 클릭하면 이미지 덤프 시작
11. 끝나면 증거의 무결성에 사용되는 해시값들을 보여줌
