사본 이미지 생성하기 - FTK Imager

FTK imager 다운로드 및 설치 -> 실행 

 

2020.08.17 기준 최신 버전 4.3.0

 

1. 공식홈페이지에서 다운로드 및 설치

 

 

실행화면

 

 

2. 디스크 이미징 

 

- 사본이미지 생성은 원본 저장매체의 물리적 데이터를 파일로 만드는 작업

- 파일, 디렉터리, 디스크의 비할당영역, 슬랙공간을 포함하여 저장

- 사본이미지 생성 전 쓰기방지 설정 필수

- 디지털포렌식전문가 2급 시험

: 시험장에서 분석을 위해 분석용 USB가 주어지며, 해당 USB를 원본저장매체로 간주하고 이미징 작업을 진행

(연결하기 전 레지스트리를 통한 쓰기방지 설정 필수)

: 기존에 시험볼 때에는 encase의 fastblocSE 기능을 이용했었으나, 15회 시험 부터는 Encase 지원이 안된다고 한다)

쓰기방지설정 참고  : kkamagistory.tistory.com/918

: 실기 대비 연습 시에는 분석용 이미지가 파일에 있는 상태이니 그대로 이미지를 마운트하여 사본 생성을 연습

 

 

 

 

1) FTK Imager 실행 및 이미징 대상 등록

 

2) 대상 드라이브 선택에서 Physical Drive 선택

 

 

3) 이미징할 디스크 선택

 

 

4) 추가된 드라이브 대상 목록에서 마우스 우클릭하여 Export Disk Image 클릭

 

5) 이미지 유형 선택 -> E01 파일

 

6) 이미징 디스크 정보 -> 기입안해도 무방

 

7) 이미징 파일 저장 경로 선택 (Image Fragment Size는 0으로)

 

8) 이미징 시작

 

9) 완료 및 해쉬값 확인

 

* 메모리 덤프 기능(참고)