[드림핵] 디지털 증거-1 (디스크 이미징)

< 디스크 이미징 >

 
디스크 이미징: 하드디스크(HDD), SSD 등의 디지털 저장매체에 저장된 모든 데이터를 바이트 단위로 복제하여 하나의 파일(디스크 이미지)로 만드는 과정.

• 디지털 저장매체: 데이터를 저장하는 장치. (예: 하드디스크, C 드라이브, D 드라이브 등)
• 디지털 데이터: 0과 1로 구성된 데이터. (디지털 저장매체에 디지털 데이터가 존재)
• 디스크 이미지: 디지털 저장매체의 디지털 데이터를 바이트 단위로 복제한 파일 형식. 디지털 저장매체와 동일한 데이터를 가짐.

 

 FTK Imager를 이용한 디스크 이미징 실습

1. 증거물 추가하기

FTK Imager를 실행한 뒤, 왼쪽 상단의 [add evidence item] 버튼을 눌러 증거물(드라이브, 이미지 파일 등)을 추가
 

2. 디스크 추가하기

USB 등 저장장치 연결 후, [Physical Drive] 버튼 클릭  

버튼	의미
Physical Drive	물리적인 드라이브(=디스크)를 프로그램에 추가
Logical Drive	논리적인 드라이브(=드라이브)를 프로그램에 추가
Image File	디스크 이미지 파일을 프로그램에 추가
Contents of a Folder	특정 폴더의 파일들을 프로그램에 추가

     
▷ 디스크 vs 드라이브

• 디스크(Disk): 물리적으로 형태를 지닌 저장매체 (하드디스크, SSD 등) ( FTK Imager에서는 Physical Drive라는 표현을 사용)
• 드라이브(Drive): 논리적으로 나뉜 저장공간 (C:, D: 등)

 
 
 

3. 디스크 이미지 생성하기
 

추가한 디스크에서 우클릭 → [Export Disk Image] 클릭

 
 
Add 버튼 클릭 → 이미지 유형 선택 창이 뜸
E01 클릭
E01: 압축 저장 + 무결성 검증(해시 포함). 가장 많이 쓰임

 
 

4. 이미지 정보 및 저장 설정
 

Browse를 눌러 저장 경로와 파일 이름 지정
Image Fragment Size = 0 (분할 저장 안 함)
설정 완료 후 Finish

☆ 주의사항

• 디스크 이미지를 디스크 이미징 대상이 되는 저장장치에 저장하면 안 됨
  (예: USB 이미지를 USB에 저장 X)
• 저장 위치에 충분한 공간 확보 필요

 

5. 이미징 시작 및 완료 확인

• Start 버튼 클릭 → 디스크 이미징 시작
• 진행 중에는 시간이 오래 걸릴 수 있음 (용량에 따라 상이)
• 완료되면:
  • 해시값 확인으로 무결성 검증
  • 지정한 경로에 .E01 확장자의 이미지 파일이 생성됨

실패한 화면

 
 
 
 
 

디스크 이미징 vs. 디스크 복제 vs. 복사

	설명	결과물	주요 사용 사례
디스크 이미징	저장매체의 전체 데이터를 바이트 단위로 복제하여 하나의 파일 형태로 저장	.E01, .dd 등의 디스크 이미지 파일	디지털 포렌식, 증거 보존
디스크 복제	원본 저장매체의 데이터를 다른 저장매체에 그대로 복사	복사된 저장매체 (실체 장치)	시스템 마이그레이션, 백업
복사	파일 또는 폴더 단위의 일부 데이터만 복사	선택된 파일/폴더	일반 백업, 선별적 압수 수집

 
 
비유하자면,

• 디스크 이미징: 책을 스캔해서 PDF 파일로 저장하는 것
• 디스크 복제: 책을 그대로 복사해서 또 다른 책을 만드는 것
• 복사: 책의 일부 페이지(파일)를 복사하는 것

 
 

디스크 이미지 마운트

 
디스크 이미지 파일을 컴퓨터에 인식시키는 과정