Portable Forensics: 디스크 이미징 소프트웨어(Disk Imaging Software)

Page info

Page type : PFP Reference
Knowledge location : 1. First Response >> Disk imaging >> Disk Imaging Software
Other Reference : http://portable-forensics.com/document.html
PFP & Manual downLoad : http://portable-forensics.com/download.html

디스크 이미징 소프트웨어(Disk Imaging Software)

소프트웨어를 통한 디스크 이미징은 중요한 서비스를 제공하는 서버와 같이 시스템을 종료할 수 없을 때 처럼 활성 상태에서 디스크 사본을 생성해야하는 경우에 용이하게 사용된다.

혹은, 전용 이미징 하드웨어 장비를 소지하고 있지 않거나 사용할 수 없는 환경에서도 조사관은 자신의 시스템이나 노트북에 조사 대상 디스크를 연결한 후 이미징 소프트웨어를 구동하여 디스크 사본을 생성해야 한다.

이미징 소프트웨어를 이용하는 사본 생성 방법은, 고가의 전용 이미징 장비 없이도 사본을 생성할 수 있다는 장점이 있지만,

시스템에 따라 다소 속도가 느릴 수 있다는 점과, 반드시 쓰기 방지 장치를 연결하여 원본에 대한 변조 가능성을 차단해야 하는 것만은 기억하자.

쓰기 방지 장치 : 저장 장치와 컴퓨터 사이에 연결되어 컴퓨터에서 저장장치를 '읽기'만 허용하고, '쓰기'신호는 막는 장치 (ex.Tableau Forensic Bridge)

분석 대상(Target)

※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
(PFP Manual, PFP Download, PFP home)

운영체제 디스크 오브젝트를 통한 수집(Collect via the disk object)

Check List

디스크 이미지 수집(Disk image acquisition)

일반적으로 디스크 오브젝트에 접근하여 전체 디스크 이미지 획득

부트 영역, 볼륨 슬랙 등의 내용 파악을 위해 필요

파티션 이미지 수집(Partition image acquisition)

파티션 단위 이미지 획득이 필요한 경우

시스템 권한 문제로 디스크 오브젝트에 대한 접근이 불가능한 경우
조사 권한이 특정 파티션에 한정된 경우

Related Tools

[Public] Disk Imaging

소프트웨어를 통해 디스크 사본을 생성할 때에는 운영체제가 제공하는 디스크 관리 오브젝트에 접근하여 사본을 생성하는 것이 가장 일반적인 방법이다. Windows는 자신이 잡고 있는 저장장치에 대한 오브젝트(핸들)와 이에 접근 가능한 API를 제공하고 있으며, 이를 이용한 이미징 소프트웨어가 다수 존재하므로 적절히 활용하여 사본을 생성할 수 있도록 하자.