디스크 이미징(Disk Imaging)
디스크 이미징
디스크 이미징이란?
원본인 디지털 저장매체의 복제본인 디스크 이미지(Disk Image)를 생성하는 과정
* 디지털 저장매체
하드디스크(HDD)나 SSD와 같이 데이터를 저장하는 장치
0과 1로 구성되는 디지털 데이터가 존재
* 디스크 이미지
디지털 저장매레에 저장되어 있는 디지털 데이터를 바이트 단위로 복제해서 하나의 파일로 저장한 것
원본 디지털 저장매체와 동일한 데이터를 가지지만 그 형태가 하나의 파일 형태로 존재
FTK Imager로 디스크 이미징
1. FTK Imager를 실행시킨 후, 왼쪽 상단의 Add Evidence Item 버튼 클릭
| 메뉴 | 설명 |
| Physical Drive | 물리적인 드라이브(디스크)를 프로그램에 추가 |
| Logical Drive | 논리적인 드라이브(드라이브)를 프로그램에 추가 |
| Image File | 디스크 이미지 파일을 프로그램에 추가 |
| Contents of a Folder | 특정 폴더의 파일들을 프로그램에 추가 |
* 디스크(Disk)
물리적으로 형태를 지닌 저장매체
ex) 하드디스크(HDD), SDD
→ FTK Imager에서는 Physical Drive라는 표현 사용
* 드라이브(Drive)
논리적으로 구분되는 저장공간
ex) C 드라이브, D 드라이브
2. Physical Drive 버튼 선택 후, 저장장치 선택
현재 컴퓨터에 500GB의 SSD 장치와 30GB의 USB 장치가 연결된 것을 볼 수 있음
3. 추가한 디스크를 우클릭한 후, Export Disk Image 버튼 선택
Add 버튼 클릭
| 메뉴 | 설명 |
| Raw(dd) | 원본 디지털 저장매체에 저장된 데이터를 어떠한 압축도 없이 원본 그대로 저장하는 파일 확장자 - 원본 그대로의 데이터를 Raw 데이터라고도 부름 - Unix/Linux 운영체제에서 dd 명령어를 수행한 결과와 비슷함 |
| E01 | 일반적으로 많이 사용되는 디스크 이미지 파일 확장자로 원본 데이터를 압축하여 저장하는 파일 확장자 - 파일 크기가 작아짐 - CRC 및 MD5 필드를 통해 파일 변조를 검증할 수 있음 |
| SMART | Linux 운영체제 파일 형식 |
| AFF | 오픈소스 형태의 확장가능한 대용량 파일 형식 |
※ 주의 ※
1. 디스크 이미지를 저장할 경로는 디스크 이미징 대상이 되는 저장장치와 달라야 함.
2. 저장할 경로의 크기가 디스크 이미지의 크기보다 커야 함.
Finish 버튼 클릭
Start 버튼 클릭 시 디스크 이미징 시작
확장자가 E01인 디스크 이미지 파일이 생성됨.
디스크 이미징 / 복제 / 복사
디스크 복제란?
원본 저장매체와 동일한 디지털 데이터를 가지는 복사본 저장매체를 만드는 행위
디스크 복제는 원본 저장매체에서 디지털 데이터를 읽어와 별개의 저장매체에 쓰기를 수행
디스크 이미징
→ 디스크 이미지 파일 생성
디스크 복제
→ 복사본 저장매체 생성
디스크 복사란?
파일이나 폴더 단위의 디지털 데이터를 별개의 저장매체에 복사하는 행위
디스크 이미징 & 디스크 복사
→ 저장매체 단위로 디지털 데이터를 옮기는 방법
디스크 복사
→ 저장매체 중에서 일부의 데이터만을 옮기는 방법
정보저장매체의 압수 방법 (선별압수 원칙)
- 제2조(정의) 이 규칙에서 사용하는 용어의 뜻은 다음과 같다.
6. "복제본"이란 정보저장매체등에 저장된 전자정보 전부를 하드카피 또는 이미징 등의 기술적 방법으로 별도의 다른 정보저장매체에 저장한 것을 말한다.
▶ "복제본"을 하드카피(디스크 복제) 및 디스크 이미징을 수행한 결과로 정의하고 있음
- 제14조(전자정보 압수·수색·검증의 집행) ① 경찰관은 압수·수색·검증 현장에서 전자정보를 압수하는 경우에는 범죄 혐의사실과 관련된 전자정보에 한하여 문서로 출력하거나 휴대한 정보저장매체에 해당 전자정보만을 복제하는 방식(이하 "선별압수"라고 한다)으로 하여야 한다. ...(생략)...
▶ 복사에 대해 규정하고 있으며, 제14조, 제15조, 제16조 중 가장 우선으로 적용됨
- 제15조(복제본의 획득·반출) ① ...(생략)... 제14조제1항 전단에 따라 선별압수 하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란한 경우에는 복제본을 획득하여 외부로 반출한 후 전자정보의 압수·수색·검증을 진행할 수 있다.
▶ 디스크 복제 및 이미징에 대해 규정하고 있으며, 제14조가 불가피한 경우에만 적용됨
- 제16조(정보저장매체등 원본 반출) ① ...(생략)... 제15조제1항에 따라 복제본을 획득·반출하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란한 경우에는 정보저장매체등 원본을 외부로 반출한 후 전자정보의 압수·수색·검증을 진행할 수 있다.
▶ 원본 저장매체 반출에 대해 규정하고 있으며, 제15조가 불가한 경우에 적용됨
- 제19조(현장 외 압수절차) ①...(생략)... 정보저장매체등 원본을 반출한 경우 위 원본으로부터 범죄혐의와 관련된 부분만을 선별하여 전자정보를 탐색·출력·복제하거나, 위 원본의 복제본을 흭득한 후 그 복제본에 대하여 범죄혐의와 관련된 부분만을 선별하여 전자정보를 탐색·출력·복제하는 방법으로 압수한다. ...(생략)... ② 경찰관은 제15조제1항에 따라 복제본을 반출한 경우 범죄혐의와 관련된 부분만을 선별하여 탐색·출력·복제하여야 한다. ...(생략)...
▶ 제14조 및 제19조에서는 범죄혐의와 관련된 부분만을 선별하여 압수해야 한다고 반복해서 말하고 있음(선별압수의 원칙)
출처: 디지털 증거의 처리 등에 관한 규칙 (경찰청 훈령)
FTK Imager로 디스크 이미지 마운트
디스크 이미지 마운트란?
디스크 이미지 파일을 컴퓨터에 인식시키는 과정
1. FTK Imager를 실행시킨 후, 왼쪽 상단의 Add Evidence Item 버튼 클릭
Image File 버튼 선택 → 디스크 이미지 파일 추가
이전에 생성했던 이미지 파일 선택
디스크 이미지 파일이 추가됨
특정 폴더나 파일을 우클릭하고 Export Files 버튼을 누르면 파일을 컴퓨터로 추출할 수도 있음