외로운 Nova의 작업실

디지털 포렌식 기초 - 2(이미지 덤프와 마운트, 기초도구) 본문

Digital Forensics

디지털 포렌식 기초 - 2(이미지 덤프와 마운트, 기초도구)

Nova_ 2022. 10. 25. 15:17

안녕하세요. 1장에 이어서 디지털 포렌식에대해 지속적으로 알아보겠습니다.

 

- 이미징과 마운트

디스크 이미징 : 디스크는 물리장비이기 때문에 파일시스템의 형태로 변환시키는 것

디스크 마운트 : 디스크 이미징된 파일을 분석에 사용하는 나의 컴퓨터에 이동시키는 것

메모리 덤프 : 켜져있는 컴퓨터를 수사할때 메모리 사용의 한순간을 캡쳐하여 파일로 변환시켜 나의 컴퓨터에 이동시키는 것

 

- 설치 프로그램

HXD : 파일의 HEX값을 보는 프로그램

https://mh-nexus.de/en/downloads.php?product=HxD20 

 

Downloads | mh-nexus

Downloads I am looking for new translators, if you want to help, here is a list of unmaintained translations. Note: Starting with HxD 2.3, the portable edition is available as separate setup program, and can be run with minimal privileges (no admin rights

mh-nexus.de

Everything : 컴퓨터 안의 파일을 검색하는 프로그램

https://www.voidtools.com/ko-kr/

 

voidtools

 

www.voidtools.com

7zip : 특이한 압축을 풀어주는 프로그램

https://www.7-zip.org/

 

7-Zip

7-Zip 7-Zip is a file archiver with a high compression ratio. Download 7-Zip 22.01 (2022-07-15) for Windows: Link Type Windows Size Download .exe 64-bit x64 1.5 MB Download .exe 32-bit x86 1.2 MB Download .exe 64-bit ARM64 1.5 MB License 7-Zip is free soft

www.7-zip.org

notepad++ : 여러가지 파일을 한번에 볼 수 있는 프로그램

https://notepad-plus-plus.org/downloads/v8.4.6/

 

Download Notepad++ v8.4.6 | Notepad++

Download Notepad++ v8.4.6 Release Date: 2022-09-29 Download 64-bit x64 Download 32-bit x86 Download ARM64 Download source code Download Notepad++ source code of current version and/or check sha-256 digests for binary packages on GitHub Integrity & Authenti

notepad-plus-plus.org

sysinternal suite : 디지털 포렌식 도구들의 모음

https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

 

Sysinternals Suite - Windows Sysinternals

The Windows Sysinternals troubleshooting Utilities have been rolled up into a single suite of tools.

learn.microsoft.com

FTK imager : 디스크 이미징 해주는 프로그램

https://drive.google.com/file/d/1Z7uWXZQlqKuwjWpS5dhZBT6CT-EJtCOT/view

 

AccessData_FTK_Imager_4.5.0_(x64).exe.zip

 

drive.google.com

autopsy : 디스크 이미징관련 추가적인 기능들이 있는 프로그램

https://www.autopsy.com/download/

 

Autopsy - Download

Cyber Triage is fast and affordable incident response software any organization can use to rapidly investigate its endpoints. Built by Brian Carrier, Cyber Triage is designed to support the needs of cyber first responders in law enforcement, consulting fir

www.autopsy.com

 

- 실제 이미징과 이미지 마운팅 시키기

1. FTK imager 에서 Create disk image를 누른후 physical drive를 누른다음, 이미징 할 드라이브를 선택합니다. 이후 finish를 누른다음, 이미지 타입은 e01(압축)으로한 후 destination을 지정해줍니다. 파일 이름을 정해주고 image fragment size를 쪼개지 않는다는 0으로 설정해줍니다. 이후 finish를 누른다음 start를 누르면 이미징 파일을 생성해줍니다.

2. 이미지 파일을 생성했다면 이미지 마운팅을 해야합니다. 이미지 덤프는 실제로 본뜬 드라이버를 usb를 꽂은 것처럼 드라이브로 인식하게 해줍니다. 이미지 덤프 단계는 이미지 마운팅을 클릭해주고 파일을 선택해주고 mount를 클릭하면 마운팅이 됩니다. 마운팅을 하면 이전에 보지 못했던 드라이브가 나옵니다.

E로컬 디스크는 원래 없었지만 마운팅후에 생성되었습니다. E디스크는 usb 드라이브를 이미징하고 마운팅한 디스크입니다.

 

- 실제 메모리 덤프해보기

FTK imager에서 Capture memory를 선택해줍니다. 이후 destination을 정해주고 Capture memory를 클릭해줍니다. 이후 생성파일을 HxD 프로그램을 실행하여 올려주면 볼 수 있습니다.

'Digital Forensics' 카테고리의 다른 글

디지털 포렌식 기초 - 5(volatility 명령어 정리)  (0) 2022.10.29
디지털 포렌식 기초 - 5(grrcon 2015#1 침해 분석)  (0) 2022.10.28
디지털 포렌식 기초 - 4(malware cridex 침해 분석)  (2) 2022.10.26
디지털 포렌식 기초 - 3(파일 복구, 침해 분석 문제 다운로드 및 준비)  (0) 2022.10.26
디지털 포렌식 기초 - 1(정의,유형,대상)  (0) 2022.10.25
'Digital Forensics' Related Articles more
Comments