FTK imager로 디스크 이미지 사본 생성하기

FTK imager 는 AccessData 사에서 만든 이미지 사본 생성 도구이다.

디지털포렌식 수사를 할때  USB, 하드디스크 같은 매체의 무결성을 위해서 원본으로 조사를 하지 않고

사본 이미지를 만들어서 조사를 하게 되는데 이 때 필요한 도구이다.

그리고 삭제된 데이터 복원도 가능하다.

[USB 메모리 사본 이미지 생성방법]

- 작업환경 : Windows10, 16Gb 메모리, FTK imager 4.1.1.1(한글버전)

FTK imager를 열고 파일 -> 디스크 이미지 작성을 누른다.

소스 선택창이 나오는데 물리적 드라이브, 논리적 드라이브, 이미지 파일 등 몇가지 종류가 나오는데

USB메모리를 이미지 생성할 것이기 때문에 물리적 드라이브를 선택하고 다음을 누른다.

인식된 USB 메모리를 선택하고 완료를 눌러준다.

이렇게 하면 바로 작업이 완료되지는 않고 이미지 유형을 선택 등 몇가지를 추가해야

작업을 완료할 수 있는데 이미지 대상 아래에 추가 버튼을 눌러준다.

이미지 유형 선택창이 나오게 되며 4가지 원시(dd), SMART(S), E01(E), AFF 방식을 선택할 수 있는데

보통은 E01 방식을 많이 사용하므로 E01을 선택하고 다음을 눌러준다.

(상황에 따라서는 원시(dd)방식을 사용해야할 경우도 있음.)

그 다음은 증명 항목 정보가 나오는데 이 부분은 지금은 그렇게 중요한 부분이 아니므로 알아서 적는다.

(실제 현장에서는 현장에 맞게 작성)

이미지 대상 선택 창이 나오면 이제 이미지 파일을 저장할 곳, 이미지 파일의 이름을 지정하게

되고 이미지 대상 폴더에는 저장될 폴더를 선택하고, 이미지 파일 이름은 각자 알아서 정하면 된다.

(아래의 추가 옵션을 선택해서 이미지 단편화 크기나 압축방식 등을 지정해서 할 수도 있으며

여기서는 기본을 사용한다.)

이제 완료를 누르게 되면 이미지 대상에는 경로가 지정이 되고 위에서는 활성화 되어있지

않던 시작 버튼이 활성화 되면서 이제 이미지 생성을 할 수 있게 된다.

시작 버튼을 누르면 이렇게 이미지 생성 창이 보이면서 진행이 된다.

16GB USB를 기준으로 1분 30초 정도 걸렸다.

디스크의 용량이 더 크다면 작업시간이 더 오래걸릴 것이다.

이제 생성이 완료되면 확인결과 창이 뜨고 해시값을 확인하여 동일한지 체크를 하여 출력해준다.

이제 USB메모리의 디스크 이미지 사본 작성은 완료되었으며 이제 USB를 제거해도 상관이 없다.

분석은 이 사본으로 하게 될 것이기 때문에…

제대로 생성되었는지 확인해보자.

설정한 디렉토리로 가서 확인을 해보면 이렇게 이미지 사본 파일과

USB안에 데이터 정보들이 담겨있는 csv 파일 그리고

USB메모리에 대한 정보가 담겨있는 txt 파일도 생성이 되어있다.

[생성된 사본 이미지 확인하기]

FTK imager에서 파일 -> 증명 항목 추가 선택

선택하면 이미지 생성때와 마찬가지로 소스 선택 창이 나오는데

이제는 물리적인 디스크가 아닌 이미지 파일을 선택한다.

이미지 파일의 경로를 선택하고 완료를 누른다.

완료를 누르게 되면 이제 이렇게 USB에 담긴 정보들을 볼 수 있게 된다.

왼쪽 창은 윈도우 탐색기 처럼 트리 형식으로 디렉토리를 출력해주며

파일목록에서는 어떠한 파일들이 있는지 보여주며 삭제된 파일들은 X로 표시가 된다.

FTK imager를 이용한 USB 메모리 이미지 사본 생성 완료!!!