수집 된 증거는 'Adding Evidence Items' 기능을 이용하여 분석할 수 있다.

물리적으로 할당되어진 드라이브나 논리적으로 할당된 파티션 내 정보만 분석할 수도 있다.

해당 기능을 이용하여 $LogFile, $MFT, $UsnJrnl등 침해사고 분석에 중요한 파일을 추출할 수 있다.

오늘은 FTKImager를 활용하여 이미지 마운트하는 방법을 실습해보겠다.

이미지 마운트는 침해사고조사 과정에서 수집된 증거 이미지를 드라이브에 마운트하여 분석할때 사용한다.

이미지 마운트 과정을 보여주기 위해 임의로 OS image파일을 사용했지만 실제 진행할때는 직접 수집한 이미지를 마운트하는것을 권한다.

FTKImager Version : 3.4.3.3

FTKImager를 통해 실습한 Disk Dump에 이어서 Memory Dump 실습을 진행한다.

FTKImager Version : 3.4.3.3

오늘 소개할 포렌식 Tool은 FTKImager이다. 해당툴은 실무에서 자주 사용되는 툴로 증거 수집에 있어 매우 유용하다. 뿐만 아니라 덤프된 이미지를 마운트하여 로컬 PC에서 확인할 수 있는 장점이 있다.

먼저 FTKImager를 활용하여 디스크 덤프과정을 실습해보겠다.

FTKImager Version : 3.4.3.3