FTK Imager 사용법 및 복원

FTK Imager 을 이용해서 USB 드라이버의 디스크 이미지를 덤프하고, 해당 디스크 이미지를 분석해보도록 하겠다.

 

 

1. FTK Imager 간단 사용법

 

실습에 앞서 FTK Imager 의 대표적인, 유용한 기능들을 살펴보자.

 

우선, FTK Imager 실행 화면은 다음과 같다.

 

 

상단 아이콘에서 다양한 기능을 지원하는 것을 확인할 수 있는데, 메모리 캡쳐, 암호화된 파일 여부를 확인할 수 있는 기능을 선택할 수 있다.

또한 메뉴 바의 File 에서 여러 기능을 선택할 수도 있는데, 상단 아이콘에는 이 기능들이 들어가있는 것이다.

따라서 편의에 따라 사용하면 되고, 대표적인 기능을 몇 가지 살펴보자.

 

 

 

1.1 Add Evidence Item

말 그대로 증거 자료를 Evidence Tree 에 추가하는 과정이다.

 

선택하면 다음의 Source 종류를 선택할 수 있는데, 각 선택지는

 

- Physical Drive : 물리적 드라이브 (HDD 전체를 지정)

- Logical Drive : 논리적 드라이브 (HDD 를 C, D 등으로 분할하여 사용할 경우 이 옵션 선택)

- Image File : 이미징 파일

- Contents of a Folder : 특정 폴더의 콘텐츠

 

이고, 자신의 증거에 맞게 추가해주면 된다.

 

 

(우리는 디스크 이미지를 만들어서 분석할 것이므로, Image File 을 선택해서 추가해주면 된다.)

 

 

1.2 Creat Disk Image

 

디스크 이미지를 만드는 방법 중 하나로, 해당 내용은 

2020/10/25 - [SECURITY/FORENSICS] - FTK Imager 설치 및 내 디스크 이미지 덤프하기

을 참고하면 된다.

 

 

1.3 Image Mounting

 

이미지 파일의 경로를 주고 마운트 시키면 포렌식 이미지는 읽기 전용 보기 옵션이 있는 드라이브나 물리 장치로 마운트된다.

드라이브처럼 마운트된 이미지를 오픈하고 윈도우나 다른 애플리케이션의 내용을 검색할 수 있다.

지원되는 타입은 RAW/dd 이미지, E01, S01, AFF, AD1, L01 이다.

 

 

 

1.4 Capture Memory

이 기능을 선택하면 아래의 옵션을 선택해서 메모리를 캡쳐한 결과를 저장할 수 있다.

 

 

 

1.5 Detect EFS Encryption

 

증거를 스캔하여, 암호화된 파일이 있는지 검사해준다.

 

 

 

 

 

2. 디스크 이미지 분석 및 복원

 

실습을 위해, 파일을 저장하고 삭제하고 옮기고 여러 작업을 수행한 USB 드라이브의 이미지 파일을 FTK Imager 로 생성하였고, FTK Imager 에서 해당 이미지 파일을 열었다.

 

USB 드라이브에 있는 파일과 폴더들, 그리고 삭제했던 파일들을 확인할 수 있었다.

 

 

 

------------------------------------------------------------------------------

2.1 File Slack

 

그 중 File Slack 이라는 부분이 있었는데, FIle Slack 은 물리적으로는 파일에 할당된 공간이지는 논리적으로는 사용할 수 없는 공간이다.

slack 공간은 정보를 은닉할 수 있고, 파일의 복구 및 삭제된 파일의 파편조사 시 유용하게 사용할 수 있으므로 포렌식 분석 시 중요하게 고려하는 사항이다. 

크게 Ram Slack(램 슬랙), Drive Slack(File Slack, 드라이브 슬랙), File System Slack(파일시스템 슬랙), Volume Slack(볼륨 슬랙) 으로 나뉘고, 지금 우리가 보고 있는 slack 은 Drive Slack 에 해당한다.

 

- Drive Slack

Drive Slack 은 클러스터의 사용으로 인해 낭비되는 공간 중 램 슬랙을 제외한 부분으로 File Slack 이라고도 한다.

파일 슬랙을 이용하면 특정 파일이 해당 저장 매체에 존재하였는지 규명할 수 있다.

존재 여부를 알아야 할 파일을 클러스터 단위로 나눈 후, 각 클러스터의 마지막 부분과 파일 슬랙 중 일치하는 부분이 있는지 확인하는 것이다.

 

http://forensic.korea.ac.kr/DFWIKI/index.php/Slack

 

------------------------------------------------------------------------------

 

 

 

그럼 디스크 이미지를 통해 확인한 삭제된 파일들을 복구해보자.

 

 

몇 가지 파일을 선택해서 Export Files 를 하였다.

 

9개의 파일이 잘 export 되었다는 메시지가 떴다.

 

 

그런데 저장된 파일들의 개수는 Export 한 것과 맞지만, 잘 보면 IMG2.E01, IMG2.E03, IMG2.E05 파일의 크기가 0KB 이다. 이는 성공적으로 복구하지 못한 것인데, 해당 파일들은 모두 File Slack 이 없는 파일들이다.

 

따라서 디스크 이미지에서 삭제된 파일을 발견하더라고 File Slack 이 존재하지 않으면 해당 파일을 확인할 수 없고, 복구하지 못할 수 있음을 추측해볼 수 있었다.

 

 

 

 

Ref.

[1] k-dfc.tistory.com/34

[2] forensic.korea.ac.kr/DFWIKI/index.php/Slack

[3] 파일 시스템과 파일 복구, 박종혁, UCS Lab, 2013, www.parkjonghyuk.net/lecture/2014-2nd-lecture/computer/ch8_1.pdf

.