본문 바로가기
포렌식/기초부터 따라하는 디지털 포렌식

디스크 이미징과 마운트, 메모리 덤프

by SH_L 2022. 7. 4.
반응형

https://www.inflearn.com/course/%EA%B8%B0%EC%B4%88-%EB%94%94%EC%A7%80%ED%84%B8-%ED%8F%AC%EB%A0%8C%EC%8B%9D/dashboard

 

[무료] 기초부터 따라하는 디지털포렌식 - 인프런 | 강의

기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., - 강의 소개 | 인프런...

www.inflearn.com

 

본 게시물은 손지훈 강사님의 기초부터 따라하는 디지털 포렌식 강의를 참고하여 작성된 게시글입니다.

 

 

 

[디스크 이미징]

 

디스크 이미징이란, 디스크를 파일의 형태로 가져오는 것을 말한다. 디스크를 분석하기 위해서는 파일의 형태로 존재해야 하므로 디스크 이미징을 수행한다. 이때, 주의해야 할 점은 C 드라이브의 이미지를 C 드라이브에 저장할 수 없다. 따라서 USB의 이미지를 C 드라이브에 저장하거나, D 드라이브의 이미지를 C 드라이브에 저장하는 방식으로 실습을 진행한다.

 

FTK Imager를 통해 실습을 진행했다. 실습 과정을 아래와 같다.

 

1. Create Disk Image 버튼을 클릭한다.

 

 

2. Physical Drive를 선택한다.

 

 

3. USB를 사용하여 실습을 진행할 것이기에 SanDisk Ultra USB Device를 선택한다.

 

 

4. Add 버튼을 클릭한다.

 

 

5. 이미지 타입은 압축된 포맷인 E01을 사용한다.

 

 

6. Image Fragment Size를 0으로 설정한다. Fragment0으로 설정한다는 것은 이미지 파일을 쪼개서 저장하지 않는다는 의미이다.

 

 

7. 디스크 이미징을 진행한다.

 

 

8. 디스크 이미징이 완료되면 다음과 같이 해시 값을 확인할 수 있다.

 

 

 

[디스크 마운트]

 

디스크 마운트란, 이미징된 파일을 내 컴퓨터에 등록시키는 것이다. 디스크 이미지를 다시 드라이브처럼 내 컴퓨터에 등록하여 D, E, F... 드라이브 등이 새로 생성된다.

 

FTK Imager를 통해 실습을 진행했다. 실습 과정을 아래와 같다.

 

 

1. Image Mounting 버튼을 클릭한다.

 

2. Image File의 위치를 설정하고 Mount 버튼을 클릭한다.

 

 

3. 마운트가 완료되면 Mapped Image List에 E 드라이브가 새롭게 생성된 것을 확인할 수 있다.

 

 

4. 마운트 된 E 드라이브를 Evidence Item으로 추가한다.

 

 

5. Physical Drive를 선택한다.

 

 

6. StorLib Virtual Storage를 선택한다.

 

 

7. Evidence Item 추가가 완료되면 다음과 같이 USB에 대한 정보를 확인할 수 있다.

 

 

 

[메모리 덤프]

 

메모리 덤프란, 메모리의 특정 시점 상태를 파일로 만들어 저장하는 것이다. 주로 켜져있는 컴퓨터를 수사할 때 사용한다.

 

FTK Imager와 HxD를 통해 실습을 진행했다. 실습 과정을 아래와 같다.

 

 

1. Capture Memry 버튼을 클릭한다.

 

 

2. Destination path를 설정한 다음 Capture Memry를 클릭한다.

 

https://pcsupport.lenovo.com/ua/ko/products/laptops-and-netbooks/ideapad-z-series-laptops/ideapad-z570/solutions/ht500006

 

Lenovo 컴퓨터에서 가상화 기술을 활성화하는 방법 - Lenovo Support UA

 

pcsupport.lenovo.com

 

이때, 메모리 덤프를 진행하기 위해서는 가상화 모드를 해제해줘야 한다. 가상화 모드를 해제하지 않고 메모리 덤프를 진행할 경우 노트북이 강제 종료된다. 레노버 노트북을 사용하고 있기에 위의 링크를 통해 가상화 모드를 해제해 주었다.

 

 

Configuration 탭에서 Intel (R) Virtual Technology를 Disabled로 설정한 다음 F10 키를 눌러 변경된 사항을 저장한다. 변경 사항을 저장한 다음 재부팅하면 가상화 모드가 해제된다.

 

 

3. 메모리 덤프를 진행한다.

 

 

4. 메모리 덤프가 완료되면 memdump.mem 파일이 생성된다. 해당 파일을 HxD를 통해 열어보면 다음과 같은 화면을 확인할 수 있다. 하지만 쓰레기 값이 많아 원하는 정보를 바로 확인하기에는 어려움이 있다.

반응형

'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글

Registry 개념 및 실습  (0) 2022.07.17
OlympicDestroyer - Volatility Contest 2018 풀이  (1) 2022.07.14
CTF-d, GrrCon 2015 풀이  (0) 2022.07.12
Volatility Cridex 풀이  (0) 2022.07.12
쉽게 따라하는 삭제 파일 복구  (0) 2022.07.04

관련글

티스토리툴바