1. 앞으로 하게 될 일들
- 사건 터짐 → 어떻게 수사할 것인가? (기술적, 왜 하는가?)
- 컴퓨터
- 디스크 (C드라이브, D드라이브, 공간)
- 메모리 (실행하기 위한 공간)
- 디스크 이미징 : 파일의 형태로 가져옴메모리 덤프 : 사진 찍듯이 가져옴, 켜져있는 상태 그대로 가져옴
- 디스크 마운트 : 이미징된 파일을 내 컴퓨터에 등록
2. 디스크 이미징
- 목적 : 원본 데이터를 훼손하지 않고 분석하기 위해서
- 실습 과정
- FTK Imager 설치 후 관리자 권한으로 실행
- 이미지 덤프 - Create Disk Image 누르기
- Physical Drive - 드라이브 선택
- Image Destination - Image Type 고르기
- Image Destination 폴더 하나 아무거나 선택
- Image Fragment Size - 0으로 설정
- Finish 후 Start
3. 기초 도구 설명
- HxD : 파일의 헥스 값 볼 때 사용
- everything : 컴퓨터 전체에 대해 인덱스 만드는 도구 (빠르게 찾기 위해, 검색 쉬움)
- 7zip / 반디집 : 파일 압축을 해제
- notepad++ : 여러가지 파일 한번에 볼 수 있음 (로그파일 등), 전체 파일에 대해 검색 쉬움
- sysinternals suite : 도구들의 모음
- autopsy : 디스크 이미지 + 추가적인 기능(강력)
- FTK imager : 디스크 이미지를 이미징, 마운트, 메모리 덤프 가능
4. 디스크 마운트, 메모리 덤프
- 디스크 마운트 : 디스크 이미지 파일 생성 후, 포렌식 분석 도구에서 해당 이미지 파일을 실제 드라이브처럼 접근하고 사용하기 위해 필요한 과정
- FTK imager - Image Mounting 이용
- 생성한 이미지 파일 가져오기
- 메모리 덤프 : 시스템이 켜져 있는 상태에서 휘발성 데이터를 포함한 컴퓨터의 현재 상태를 포착하기 위해 수행하는 작업
- 메모리 덤프는 사진 찍듯이 가져오는 것이기 때문에 찌꺼기 데이터가 많음
- Capture Memory 이용
5. 삭제된 파일 복구 실습
- 삭제된 파일
- Evidence Item에서 root 들어가기
- x 쳐져 있는 파일 : 삭제된 파일 (일반 폴더에서는 안 보임)
- 복구 방법
- 마우스 우클릭 - Export Files - 바탕화면
- → 파일 복구됨
- Autopsy 사용
- New Case - Disk image or VM File - Asia/Seoul - 실행
- Autopsy는 File의 타입에 따라 정리해주는 기능 존재
'4-1. 2026-1 심화 스터디 > 디지털 포렌식' 카테고리의 다른 글
| [디포] section4 (2) (0) | 2026.05.15 |
|---|---|
| [디포] section4 (1) (0) | 2026.05.08 |
| [디포] section3 (1) (0) | 2026.05.08 |
| section3(2) (0) | 2026.05.01 |
| [디포] section1 (0) | 2026.03.20 |
