1. FTK Imager
디스크 이미징 후 디스크 마운트를 통해 해당 디스크의 정보를 확인할 수 있다.
FTK Imager로 해당 디스크에서 삭제된 파일을 확인할 수 도 있는데, 삭제된 파일은 붉은 x표시가 된 파일 그림으로 표시된다. 파일 사이즈가 0또는 1인 것으로 보아 내용은 남아있지 않고 파일 껍데기만 남은 것을 알 수 있다.
Export Files를 눌러 삭제된 파일 복구를 진행한다.
왼쪽과 같은 복구 성공 메세지 확인 후 지정한 경로로 들어가 보면
삭제된 파일이 성공적으로 복구된 것을 볼 수 있다.
지정한 복구 위치에 해당 파일이 복구되었다.
앞서 예상한 것과 같이 파일 크기는 0으로 내용은 날아가고 단지 껍데기만 남은 파일이다.
2. autopsy로 디스크 이미징한 E01 파일 분석 결과
사진과 같이 파일 타입 별로 분류해주기도 한다.
이런 자동 분류는 디스크 이미지의 크기가 크고 내용이 많을수록 빠르게 파일을 종류별로 확인할 수 있어 매우 유용하다.
Executable 항목에서 악성코드 감염과 관련된 exe, dll 파일 등의 목록을 확인할 수 있다.
디지털 포렌식을 위한 도구 설치 후 간단한 실습을 통해 도구들의 역할을 알아보았다.
앞으로 이 도구들을 활용해 디지털 문제를 풀어 나갈 것이다.
'해킹 공부 > 디지털 포렌식' 카테고리의 다른 글
| Volatility Cridex 풀이 정리 (0) | 2022.07.17 |
|---|---|
| Volatility 명령어 정리 (0) | 2022.07.17 |
| 퀴즈 오답노트 (0) | 2022.07.10 |
| section 1) 디지털 포렌식 기초 (0) | 2022.07.07 |
| section 2) 침해사고 대응기법_도구 설치, 환경 설정, 문제 다운로드 (0) | 2022.07.07 |