본문 바로가기

security/포렌식

AcessData 의 Forensic 이미징 도구 : FTK Imager 3.0

지난주에 좋은 기회가 닿아서 전 세계 포렌식 도구중에 가장 널리 사용되는 도구인 Encase 와 더불어 쌍벽을 이루는 제품인 Access Data 의 FTK 를 접해 보았습니다.

물론 그 이전에도 ftk를 사용안해 본것은 아니지만, 체계적이고 , 전문적으로 사용해 볼 기회가 없었고 , 간단한 기능으로만 접해 봤을 뿐이기 때문에 이번 기회는 저에게는 꽤나 좋은 경험이었습니다.

국내 총판 이면서 국내 유일의 공인 교육기관인 더존정보보호서비스 포렌식센터의 도움으로 FTK 3.x 버전에 대한 공부를 해 볼 수 있습니다.

FTK 는 크게 3가지 버전으로 나뉘며 FTK 1.x , FTK 2.x , FTK 3.x 로 나뉘며 ftk 1.x 는 가볍고 사용하기에 편하다는 장점이 있습니다. 현재 3.x 버전은  데이터베이스를 탑재하여 꽤나 무겁고 느리게 동작하기 때문에 대부분의 수사관들은 느리고 불편하다는 인식이 클 수 있지만, 반대로 Encase 같은 도구 사용시에 대용량 이미지를 불러와서 수사를 하다가 프로그램이 강제 종료 당해 처음부터 다시 수사해 본 경험이 있는 수사관이라면 매우 반길만 할 것입니다.

프로그램이 죽더라도 수사중인 모든 정보는 데이터베이스에 고스란히 남아 있기 때문에 프로그램 재구동 후 중지된 부분부터 다시 수사를 진행하면 되기 때문입니다.

FTK 는 현재 3.3 버전이 최신 버전이고 곧 3.4 버전이 나올 예정인데 , 3.3 이전에는 오라클 데이터베이스가 기본이지만, 너무 무겁다는 인식 때문에 3.4 에서는 오라클(Oracle)과 포스트그리SQL (PostgreSQL)을 선택적으로 사용할 수 있도록 지원한다고 하네요.

저는 테스트 환경을 구성하기 위해서 ftk 1.8.1.6 , ftk 3.2  , ftk imager , Registry viewer , PRTK 등을 설치 했습니다.

Encase의 경우는 USB Dongle 을 등록하면 메일로 프로그램을 다운 받을 수 있는 링크를 제공하는데 반해 Access Data의 경우는 누구나 받을 수 있도록 링크를 제공 하고 있습니다.

해당 프로그램을 다운 받기를 원하면 아래 링크에서 다운 받을 수 있습니다.

 http://accessdata.com/support/adownloads

물론, USB Dongle 이 없으면 데모 버전으로 동작하거나 ,  구동이 안되는 프로그램도 있습니다.

제가 소개한 ftk imager는 현재 3.0 버전으로 기능적 제한 없이 무료로 사용이 가능합니다.

FTK Imager version 3.0.1

Release Date: April 11, 2011
MD5: 32aaf197714aa8f2c50a418723be23ae
Download Release Notes User Guide


ftk imager는 이미징을 위한 전문화된 도구로 단순히 이미징만을 수행하는 것이 아니라 제법 다양한 기능을 가지고 있습니다.

다운 받아서 설치하면 아래와 같은 아이콘이 생성됩니다.



AccessData FTK Imager 아이콘을 실행하면 아래와 같이 프로그램이 구동 됩니다.



FTK Imager 는 다양한 화면 구성을 제공하고 있습니다. 여기에 image를 불러오면 아래와 같이 Evidence Tree 에서 해당 이미지를 접근할 수 있게 됩니다.


특정한 파일의 메타데이터확인을 위해 오프셋 정보를 decimal 로 변경합니다.


변경 후 에 오프셋이 decimal로 변경되었음을 확인 합니다.

 그리고, 이동하고자 하는 오프셋으로 이동하기 위해서 Go to offset 을 선택합니다.



해당 오프셋을 입력합니다 . 여기의 오프셋은 xls 확장자를 갖는 엑셀의 메타데이터 중에 time 정보를 가진 오프셋 값입니다.



여기에서 해당 오프셋 부터 8바이트가 time 값을 나타냅니다.


이러한 메타데이터 값을 일일히 변환하거나 확인하지 않더라도 ftk imager는 Hex Value Interpreter를 통해 쉽게 자동 변환해 줍니다.

Hex Value Interpreter는 메뉴에서 View - Hex Value Interpreter 를 선택하면 됩니다.


이제 8바이트를 드래그 하면 Hex Value Interpreter 에 해당 파일의 메타데이터에 저장된 시간정보를 확인 할 수 있게 됩니다.



FTK Imager는 이미징 기능도 훌륭하게 수행하는데 , 디스크 이미징은 물론 메모리에 대한 이미징도 수행할 수 있습니다.

그러나, 이미징에서 가장 중요하다고 할 수 있는 무결성 검증은 아래 그림과 같이 Verify Drive/Image 를 선택하여 구동할 수 있습니다.



검증(Verifying) 이 수행되면서  Elapsed time (경과 시간 ) 과 Estimated time left ( 잔여 시간 ) 정보, 진행상태, 용량 정보등을 제공해 줍니다.



검증(Verifying)이 완료되면 해당 이미지나 디스크의 해쉬 정보 등을 제공해 줍니다.


이러한 정보를 토대로 원본과 사본의 이미지에 대한 해쉬 비교를 통해 무결성을 검증 할 수 있도록 도와 줍니다.


FTK Imager 는 이외에도 다양한 몇 가지 기능을 가지고 있기 때문에 , 매우 다양한 기능을 제공한다고 할 수 있습니다.

따라서, 디지털 증거 분석을 위해 사본의 생성시 법적 증거 제출 시에 사용될 때 적합한 이미징 도구가 없거나, 별도의 프로그램이 미처 준비되지 않은 상황이라면 FTK Imager는 매우 훌륭한 도구가 될 것입니다.

FTK 에 대한 체계적인 사용법이 필요하신 분들이라면 FTK 공인 교육과정에 입과하셔서 공부를 해 보시는 것도 좋은 방법이라고 생각합니다.  관심있다는 이유로 수강하기에는 부담되는 금액이긴 하지만, 업무 관계상 필요하신 분들에게는 좋은 도구가 될 것입니다.

FTK에 대해서는 기회가 닿게 되면 또 포스팅 하겠습니다.

'security > 포렌식' 카테고리의 다른 글

Incident Analyzer 1.0  (0) 2011.07.14
Malware Analyzer 3.1  (0) 2011.07.14
하드 디스크 완전 삭제 DBAN 활용가이드  (2) 2011.06.23
기본 컴퓨터 범죄 조사 가이드  (0) 2011.04.12
The Desktop Files PsTools 입문서  (1) 2011.04.12