DIGITAL FORENSICS, INVESTIGATION, AND RESPONSE

Forensic Tools2009/09/26 15:03

FTK Imager version 2.6.1

프로니어 | Security is a people problem...

AccessData의 이미징 도구인 FTK Imager v 2.6.1 이 나왔다. 물론 나온지 조금 되었지만 그래도 이전의 버전과 비교해서 어떠한 기능이 추가되었는지 살펴보자. 이전에 v 2.4 를 사용했었는데 이미징은 대부분 EnCase를 통해 수집하거나 테스트를 위해서는 그냥 DD(Disk Dump)를 통해 수집해와서 큰 관심이 없었다.

위 그림에서 왼쪽 이미지는 FTK Imager v 2.4의 기능을, 오른쪽 이미지는 FTK Imager v 2.6.1의 기능을 보여준다. 크게 4가지 기능이 추가되었다.

Add All Attached Devices

시스템의 물리, 논리적인 모든 장치들을 자동 마운트 하여 현재 프로그램에 가져온다.

Add to/Create Custom Content Image

FTK Imager에서는 사용자 원하는 특정 내용을 기반으로 한 이미지를 작성할 수 있게 도와준다. 왼쪽 하단에 위치한 Custom Content Pane에 추가한 내용을 기반으로 이미지를 생성하게 된다. 증거 획득을 위한 모드로 사용할 수는 없겠지만 분석을 위해 사용하면 좋을 듯 하다. 다만 얼마나 분석의 용이함을 지원할지는 한번 사용해봐야 겠다.

Capture Memory

FTK Imager v 2.6.1의 가장 큰 특징인 물리메모리 수집 기능이다. 하지만 현재 4GB의 메모리 중 3GB만 수집하는 것으로보아 커널영역은 제외한 사용자 영역만 수집하는 것으로 보인다. 따라서 메모리 분석을 위해서라면 기존의 물리메모리 풀 덤프를 지원하는 도구를 사용하는 것이 바람직 할 것이다.

Detect EFS Encryption

EFS(Encrypting File System)는 Windows XP부터 지원한 파일시스템 수준의 암호화 방식이다. 각 파일 및 디렉터리의 속성의 고급 항목을 보면 해당 오브젝트를 암호화 할 수 있는데 FTK Imager v 2.6.1에서는 이러한 EFS로 암호화된 파일을 탐지할 수 있는 기능을 지원한다.

MetaCarve (Deep Scan)

이 항목은 현재는 지원하지 않는다고 한다. 그런데 왜 굳이 넣어 두고 비활성화 시켜둔 것인가? 홍보 목적인 듯 하다.

저장매체를 이미징하기 위한 도구는 DD, Dcfldd, IXimager, LinEn, EnCase 등 매우 다양하다. FTK Imager 또한 그러한 이미징 도구의 하나이다. 물론 자신이 선호하는 이미징 도구가 있겠지만 간혹 특정 환경에서 동작하지 않는 경우가 발생한다. 이럴 경우를 대비해서 다양한 이미징 도구를 두루두루 알고 있는 것이 좋겠다. 다만 NIST의 CFTT에서 인증받은 도구들을 대상으로 말이다.