[Digital Forensic] 이미징 툴

 이미징 툴

 

  이미징이란?

  저장 매체의 모든 물리적 데이터를 파일 형태로 만드는 작업을 의미한다.

  저장 매체 이미징을 수행하면 저장매체의 첫번째 섹터부터 마지막 섹터까지 모든 데이터가 파일 형태로 저장된다.

 

  이미징을 하는 이유는 저장매체의 원본 상태를 그대로 유지시키기 위함인데, 이는 디지털 포렌식 분야에서 원본 증거(데이터)가 수집, 이동, 보관, 분석의 일련의 과정을 거치면서 변조되지 않아야 하기 때문이다.

 

  이미징 툴로는 FTK, EnCase, Taleau, MacQuisition 등이 존재한다.

 

 

 

FTK Imager

 

  FTK는 통합 포렌식 도구로, 윈도우 환경에서 실행 가능하다.

  포렌식의 가장 기본이 되는 도구로, 디스크 이미징 작업에 많이 활용된다.

 

  FTK Imager는 FTK Toolkit의 구성 요소로, 이미지 사본 생성 도구이다.

  디지털 포렌식을 할 때, USB나 HDD 같은 매체의 무결성을 위해 원본으로 조사를 하지 않고 사본 이미지를 만들어서 조사를 하게 되는데, 이 때 필요한 도구이다. 더불어 삭제된 데이터를 복원하는 기능도 있다.

 

  장점

     - 포렌식에 필요한 여러 도구를 모아 놓은 통합 도구로 사용 가능한 도구가 많다.

     - 데이터베이스를 사용하여 분석 데이터를 관리하기 때문에, 강제 종료 당하더라도 분석 중인 정보들이 데이터베이스에 남아있으므로 프로그램 재구동 후 중지된 부분부터 다시 진행할 수 있다.

     - 인터페이스가 사용하기 편리하다.

     - 검색 툴과 이메일 분석 기능이 뛰어나다.

 

  단점

     - 데이터베이스를 탑재하여 좀 무겁고 동작이 느리다.

 

 

 

EnCase Forensic Imager

 

  EnCase Forensic Imager는 디스크 이미징 도구이며 윈도우 환경에서 실행 가능하다.

 

  포터블 형태로 실행하여 전체 디스크 이미징, 볼륨 이미징, 물리/프로세스 메모리 이미징, 파일이나 디렉터리의 논리적 이미징이 가능하다.

  사용자가 설정한 키를 이용하여 이미지를 암호화하여 생성할 수 있으며, 디스크 와이핑 기능도 제공하고 있다. 또한 EnCase Imager를 이용하면 이미지의 DCO와 HPA를 탐지할 수 있다.

  이미지파일을 변경없이 파티션을 생성하여 해시값이 달라지지 않는다는 점이 있다.

  이 외에도 스마트폰 분석 기능, 파일시스템 분석 추가 지원, 멀티 플랫폼의 데이터 분석 조사를 제공하고 있다.

 

  장점

     - EnCase로 분석하여 보고서가 나오면 법적으로 인정되는 가능성이 높기 때문에 사용률이 높다.

     - 광범위한 기능을 지원하는 만큼 확장성이 뛰어나다

 

  단점

     - 사용법이 복잡하여 충분한 숙련도가 요구된다.

     - 대용량 이미지를 불러와서 작업을 하면 중간에 강제로 종료될 가능성이 있는데, 그러면 처음부터 다시 작업을 해야 한다.

 

 

 

Tableau

 

  Tableau는 데이터 시각화 프로그램으로, 드래그&드롭으로 모든 기능을 활용할 수 있다고 할 정도로 UI가 간편하다.

 

 

 

MacQuisition

 

  MacQuisition은 Mac OS X 환경에서 실행 가능하다.

 

  기본적으로 Xserve, Mac, iMac, MacBook 컴퓨터의 데이터를 이미징할 수 있으며, iPhone, iPad 등의 모바일 기기는 불가능하다.

원본 파일의 메타 데이터를 보존하며, 이미지 파일을 MD5, SHA-1, SHA-256 등의 해시 함수로 계산한다.

  선택적으로 이메일, 채팅, 주소록, 캘린더 등의 개인 데이터를 볼륨별로 이미징할 수 있으며, 조사 대상 드라이브에 대한 휘발성 데이터(RAM)도 수집 가능하다.

 

  이미징 작업 시 이미지 저장 공간으로 도구에서 제공하는 'MQData' 파티션이 존재하나, 최대 저장 가능한 용량이 2GB 밖에 되지 않기 때문에 HFS+ 파일시스템으로 포맷된 대용량 저장장치가 필요하다.

 

 

 

 

 

  아래는 간단하게 이미징 도구별 차이점을 비교해놓은 표이다. 나중에 참고하자.