[디지털 포렌식 스터디] 1주차
[지금 무료] 기초부터 따라하는 디지털포렌식 강의 - 인프런
기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털포렌식 입
www.inflearn.com
실습을 위해 FTK Imager 다운로드를 해야 한다.
FTK Imager – 디스크 이미지 관리 도
FTK Imager 다운로드 완료
Create Disk Image를 눌러줌.
[Physical Drive] 클릭
소스 드라이브와 데스티네이션이 같으면 안 되기 때문에, 소스 드라이브를 용량이 작은 USB인 D드라이브로 설정해준다.
USB 드라이브를 선택했다.
이미지 타입을 E01로 설정해준다.
이미지 데스티네이션 폴더를 바탕화면으로 설정했다.
이미지 파일 이름은 임의로 ‘Image’로 설정했다.
Image Fragment Size는 0으로 설정했다.
Start를 누르면 실행이 된다.
어떤 이유인지는 모르겠는데 거의 5시간을 기다려도 이미지가 만들어지지 않아서,
강의 자료로 나와있는 USB.E01 파일을 사용하겠다.
[사용되는 도구들]
HxD – 파일의 Hex값을 보는 데에 사용됨. (파일은 바이트로 구성이 되어있어서)
Everything – 컴퓨터 전체 파일을 쉽게 검색할 수 있다. 파일의 위치를 찾을 때 유용.
7zip (반디집 대체 사용 가능)
파일의 압축을 해제해주는 프로그램.
굳이 프로그램을 사용해서 압축을 풀어주는 이유. 포렌식 과정에서 특이한 압축 파일이 존재.
Notepad++
Sysinternals Suite – 도구들의 모임
Strings, procexcp, procmon 자주 쓰임
AUTOPSY – 디스크 이미지 관리 + 추가적인 기능
[Image mounting]버튼을 눌러서 팝업창을 띄워서 생성한 이미지 파일을 가져와준다.
Driev Letter는 자동 설정
Mount 클릭
Mount 완료
Mount: 드라이브를 하나의 파일로 만드는 이미징 작업을 반대로 다시 파일을 드라이브로 변환하여 주는 것
[Add Evidence file]을 통해 Mount한 드라이브를 Fdk에 evidence로 추가
추가 완료하였다.
다음으로는 메모리 덤프를 실행하려 한다.
완료
메모리 덤프 파일을 Hxd로 열어서 보았다. (찌꺼기 파일이 많다고 한다.)
[삭제된 파일 복구하기]
root폴더 안의 파일을 보면, x 표시가 된 파일들이 있는데, 삭제되었지만 자동으로 복구가 된 파일들이다.
파일을 복구해보았다.
삭제된 파일을 복구한 결과물이다.
Autopsy를 사용하여 USB.E01 파일을 분석할 수 있게 되었다.
Delete Files부분을 누르면 삭제한 파일들도 볼 수 있다.