디스크 포렌식 - chapter 1 포렌식 도구

1. HxD 에디터

파일이나 이미 지의 특정 섹터를 확인하거나 수정할 때 사용된다.

 

- 기능

1) 분석 대상 열기

HxD 에디터는 파일, 물리 디스크, 이미징된 파일을 읽을 수 있다.

2) Sector 이동과 수정

이동하고 싶은 Sector 숫자를 직 접 입력하여 이동할 수 있고, 원하는 위치의 Hex 값으로 수정할 수 있다.

3) 특정 영역 일괄 블록지정

파일이나 디스크 복구 등 많은 섹터 영역을 지정해야 할 때 유용하게 사용된다.

4) 특정 영역 일괄 바꾸기

바꾸고자 하는 영역을 드래그한 후 Edit > Fill selection으로 지정된 블록 영역을 원하는 값으로 모두 바꿀 수 있다.

 

 

2. FTK Imager

디스크 이미징 작업에 많이 쓰인다.

이게 디지털 포렌식 전문가 자격증 실기 시험을 볼 때 EnCase와 함께 같이 쓰이는데 나는 이것만 써봄..

다른 하드디스크에 이미지 파일(.001, .dd 등)로 저장이 되며, 실제 하드디스크와 같은 용량을 차지한다.

 

- 기능

1) 이미징 생성

Physical Drive를 눌러 원하는 물리적인 하드 드라이브를 FTK Imager에 마운팅 시킬 수 있다. Evidence Tree에 원하는 파티션 또는 물리적인 드라이브를 선택하고 무결성을 위해 이미지를 검증한다. 저장할 이미지 타입과 간단한 분석관 이름 사 건번호를 적고 Image Fragment Size를 통해 분할 저장될 크기가 정해진다.

 

 

3. 가상머신 이미지 특성

실제 시스템을 이미징한 파일을 HxD로 불러오면 0번 섹터에 바로 MBR의 구조가 오게 되지만, 가상머신의 경우 VMWare 구조가 먼저 자리 잡게 된다.

가상머신의 구조를 제외한 영역만을 보려면 FTK Imager로 이미지를 열어야 한다.