본문 바로가기
Security/Digital Forensic

[Digital Forensic] 이미징 도구 사용 실습

by 단월໒꒱ 2022. 5. 23.

 

 FTK Imager 사용법

 

  간단하게 FTK Imager 사용 방법을 알아보자.

 

 

 

 

  프로그램을 처음 실행시키면 위와 같은 인터페이스가 나타난다.

 

 

 

 

File > Add Evidence Item을 눌러준다.

 

 

 

 

  USB를 사용할 것이므로 Physical Drive를 눌러준다.

 

 

 

 

  사용할 디스크를 정하고 Finish를 눌러준다.

 

 

 

 

  그러면 위와 같은 화면이 뜬다.

  

  Evidence Tree에 뜬 항목의 왼쪽에 있는 +버튼을 누른다.

 

  

 

 

  그러면 위와 같이 여러 목록이 뜨는데, 그 중에서 [root]를 눌러본다.

 

 

 

 

  그러면 위의 화면처럼 지금 해당 디스크에 존재하는 파일뿐만 아니라 이전에 삭제했던 파일까지 뜨는 것을 확인할 수 있다.

 

 

  FTK Imager 기능을 이용하여 한번 파일을 삭제한 후에 복구해보자.

 

 

 

 

  목록에 있는 "10101 ㄱㅇㅈ" 파일을 삭제해보자.

 

 

 

 

  삭제된 상태이다.

 

 

 

 

 

 

  마우스 우클릭을 하고 Export Files를 눌러준다.

  복구된 파일을 저장할 경로를 정하고 export를 완료해준다.

 

 

 

 

  위와 같이 파일이 복구된 것을 확인할 수 있다.

 

  아래의 링크에서 이 외의 기능들도 확인할 수 있다.

  https://k-dfc.tistory.com/34

  

 

 

 

 실습

 

  위에서 간단히 파일을 복구해보았는데, 그 외의 기능들을 이용하여 아래의 실습을 진행해보았다.

 

 

 

디스크 파일 덤프 떠보기

 

  일단 위의 과정을 통해 아래와 같이 Evidence Tree에 디스크를 넣어준다.

 

 

 

 

  그러면 위와 같은 화면이 뜬다.

 

 

 

 

  File > Export Disk Image를 눌러준다.

 

 

 

 

  이 창이 뜨면 Add를 눌러준다.

 

 

 

 

  E01을 선택한다.

 

 

 

 

  대충 써준다. 

 

 

 

 

  이미징 파일을 저장할 경로를 선택해야 하는데, 이때, 이미징하는 디스크는 경로로 설정할 수 없다. 그 외의 디스크로 경로를 설정해주자.

 

 

 

 

  위에서 Finish를 누르고 위의 창이 뜨면 Start를 해준다.

 

 

 

 

  이미지 덤프를 시작했다. 이 상태로 완료될 때까지 두면 된다. (디스크 크기에 따라 걸리는 시간이 다르다.)

  32기가짜리 USB를 사용했더니 30분동안 20%도 안 차서 굴러다니는 8기가짜리 USB를 가져와서 다시 했다.)

 

 

 

 

  덤프 뜨는게 완료되면 위와 같이 해시값들을 보여준다.

  이 해시값들은 나중에 파일의 무결성을 보이는데 사용된다.

 

 

 

 

  대충 20분 정도 걸렸다.

 

 

 

 

  아까 설정한 경로로 들어가보면 파일들이 잘 저장된 것을 확인할 수 있다.

 

 

 

파티션 삭제하고 내용 복구해보기

 

  이번에는 파티션을 삭제하고 내용을 복구해보자.

 

 

 

 

  디스크 1에 test1, test2 이렇게 파티션을 나눠두었다.

 

 

 

 

  test2에 아무 파일을 하나 넣어주고

 

 

 

 

  파티션을 삭제해준다.

 

 

  이제 FTK Imager로 디스크를 열어보았다.

 

 

 

  대충 파티션이 invalid하다고 한다.

 

 

 

 

  첫번째 파티션 정보는 아래와 같다.

  00 20 21 00 0C 35 70 05 00 08 00 00 00 00 40 00

 

  00 : 부팅 불가능 (80은 부팅 가능)

  20 21 00 : CHS 시작 위치 정보

  0C : FAT32 파일 시스템

  35 70 05 : CHS 끝 위치 정보

  00 08 00 00 : 파티션 시작 주소 (little endian 방식이므로 00 00 08 00이라 2048섹터)

  00 00 40 00 : 파티션의 총 섹터 개수 (마찬가지로 00 40 00 00이므로 4194304개)

 

 cf) 파일시스템 별 정보값

 

 

파일 시스템 종류
FAT12 0x01
FAT16 0x04, 0x06
FAT32 0x0B, 0x0C
NTFS 0x07
MS_Extended 0x05, 0x0F
EFI GTP 0xEE

  

 

  파티션 시작 주소가 2048이니 2048 섹터로 가보면 아래와 같은 정보들이 나온다.

 

 

 

 

  구글링을 해보면 여기가 비어있거나 disk fail 문구가 있다는데 위와 같이 뜬다.

 

  잘은 모르겠지만 어쨌든 FAT32 파일시스템은 파티션 시작 주소 + 6섹터에 백업본이 있다고 한다. 자세한건 아래 링크를 참고해보자.

  https://watchout31337.tistory.com/178?category=904110 

 

 

  어쨌든 위의 과정을 거치지 않아도 Evidence Tree에 삭제된 파티션이 [Recovered] Partition 이라고 떠있는 걸 확인할 수 있다.

 

 

 

 

  해당 파티션의 root에 들어가보면 아까 파티션을 삭제하면서 같이 삭제되었던 파일이 있는 것을 확인할 수 있다.

 

 

 

 

  앞 부분에서 사용했던 export를 이용하여 test 디렉터리에 파일을 복구해주었다.

 

 

 

 

  파일이 잘 복구된 것을 확인할 수 있다.

 

 

 

'Security > Digital Forensic' 카테고리의 다른 글

[OtterCTF - Memory Forensics] 1. What the password?  (0) 2022.06.21
[Digital Forensic] 메모리 덤프 파일 분석 도구  (0) 2022.06.01
[Digital Forensic] 이미징 툴  (0) 2022.05.16
[Digital Forensic] 파일시스템  (0) 2022.05.16
[Hack the Packet 2012] L4  (0) 2022.05.10

관련글

댓글

티스토리툴바