AccessData FTK Imager 사용법

2021.07.16 - [포렌식 (Forensic)/포렌식 이야기] - FTK 란?

 

FTK 사용법에 대해서 알려 드리도록 하겠습니다. 저는 개인적으로 FTK 툴을 사용해 보고 싶어서 사용하는 것도 있지만 FTK 자격증을 그리고 실무를 위해서 공부 중에 있습니다.

 

 

책은 ftk를 이용한 FTK를 이용한 컴퓨터 포렌식 을 보고 있고 나머지는 구글링 그리고 여러 사이트를 참고 중에 있습니다.

일단 먼저 저는 진행을 위해 USB를 초기화 시켜서 안에 파일이 아무것도 없습니다. 따라서 메모장으로 테스트 진행시킬 파일을 만들어 주도록 하겠습니다.

다음과 같이 파일을 저장 하도록 하겠습니다. 저장할 때 파일 이름은 알기 쉽게 test로 진행하도록 하겠습니다.

파일을 저장한뒤 AccessData FTK Imager을 열어 주면 맨 처음 시작 화면입니다.

다음은 File을 클릭한뒤 빨간색 네모 박스가 되어 있는 Create Disk Image를 클릭하시면 됩니다.

그러면 다음과 같이 화면이 뜨는데 물리적 드라이브, 논리 드라이브, 이미지 파일, 폴더의 내용(논리적 파일 수준 분석만 해당 삭제, 할당되지 않은 등 제외), 페르미코 분할(여러 cd/dvd) 선택중 본인이 진행하시려는 것을 선택하시면 됩니다.

저는 USB라서 빨간 체크박스 있는 부분을 선택하겠습니다. 만약 하드디스크 혹은 다른 걸 원하시는 분은 다른 걸 선택해도 괜찮습니다.

대상 이미지 유형을 선택해야 하는데 많은 블로거와 많은 사람들이 E01을 사용하고 있더라고요.

Raw : 파일을 통째로 복사해서 이미지를 생성합니다.

SMART : 리눅스에서 사용합니다.

E01 : 대표적으로 많이 사용되고 있고 Encase에서 지원 가능한 포맷입니다.

AFF : 용량이 큰 드라이브를 용량이 적은 드라이브에 저장하기 위해 압축을 하는 방식입니다.

사례 번호, 증거 번호, 고유 설명, 검사자, 참고 사항을 하나씩 입력하시면 됩니다. 저는 테스트 진행을 위해 아무렇게나 작성해 봤습니다.

파일 이름을 지정해준 뒤 진행해봤습니다.

생각보다 저는 시간이 오래 걸렸습니다.

다음과 같이 파일이 생성되었습니다.

다음과 같이 파일이 마운트 된 걸 확인할 수 있습니다.

저는 테스트 진행을 위해 파일을 한번 삭제해 보도록 하겠습니다.

삭제된 파일도 확인이 가능합니다.

제 글에 문제가 있거나 정보가 틀렸다면 알려 주시면 감사하겠습니다.