반응형
FTK imager 다운로드 및 설치 -> 실행
2020.08.17 기준 최신 버전 4.3.0
1. 공식홈페이지에서 다운로드 및 설치
실행화면
2. 디스크 이미징
- 사본이미지 생성은 원본 저장매체의 물리적 데이터를 파일로 만드는 작업
- 파일, 디렉터리, 디스크의 비할당영역, 슬랙공간을 포함하여 저장
- 사본이미지 생성 전 쓰기방지 설정 필수
- 디지털포렌식전문가 2급 시험
: 시험장에서 분석을 위해 분석용 USB가 주어지며, 해당 USB를 원본저장매체로 간주하고 이미징 작업을 진행
(연결하기 전 레지스트리를 통한 쓰기방지 설정 필수)
: 기존에 시험볼 때에는 encase의 fastblocSE 기능을 이용했었으나, 15회 시험 부터는 Encase 지원이 안된다고 한다)
쓰기방지설정 참고 : kkamagistory.tistory.com/918
: 실기 대비 연습 시에는 분석용 이미지가 파일에 있는 상태이니 그대로 이미지를 마운트하여 사본 생성을 연습
1) FTK Imager 실행 및 이미징 대상 등록
2) 대상 드라이브 선택에서 Physical Drive 선택
3) 이미징할 디스크 선택
4) 추가된 드라이브 대상 목록에서 마우스 우클릭하여 Export Disk Image 클릭
5) 이미지 유형 선택 -> E01 파일
6) 이미징 디스크 정보 -> 기입안해도 무방
7) 이미징 파일 저장 경로 선택 (Image Fragment Size는 0으로)
8) 이미징 시작
9) 완료 및 해쉬값 확인
* 메모리 덤프 기능(참고)
반응형
'DFIR > 디지털포렌식 기초' 카테고리의 다른 글
| 디스크 포맷 및 복구 최소한 이것만 알자 (0) | 2020.12.02 |
|---|---|
| 디지털 증거의 법적 허용성 판례 (0) | 2020.08.26 |
| 쓰기 방지 설정 (0) | 2020.08.17 |
| [실습] 해쉬 값 비교분석 - HashCalc / Windows MAC (0) | 2020.08.17 |
| 디지털포렌식 조사의 일반원칙 (0) | 2020.08.17 |