FTK Imager 사용법
증거매체 불러오기
FTK Imager를 실행 후 좌측 상단의 ‘Add Evidence Item’을 클릭하면 대상이 되는 매체 또는 파일을 불러올 수 있다.
불러올 대상을 선택할 수 있는데 각 항목의 의미는 다음과 같다.
- Physical Drive: 물리적인 드라이브 전체를 불러옴
- Logical Drive: 특정 파티션만을 불러옴
- Image File: 이미 생성되어 있는 이미지를 불러옴
- Contents of a Foloer: 특정 폴더와 그 하부 파일들을 불러옴
USB의 이미지를 생성하기 위해선 Physical Drive를 선책해야 한다.
불러올 매체를 선택할 수 있다. 용량을 보고 USB를 찾아 선택하면 된다.
불러오기를 완료하면 위와 같은 화면이 나오며, USB의 정보, 폴더 구조, HEX값, 정보 등을 확인할 수 있다.
파티션을 선택할 경우 파티션 정보 등을 확인할 수 있다.
사본 이미지 생성하기
이미지 생성을 하기 위해선 상단 메뉴 중 Create Disk Image를 선택하면 된다.
불러오기와 동일하게 이미지 생성할 대상을 선택하고 Finish를 눌러준다.
이미지 저장 위치 및 포맷을 선택하기 위해서 Add를 누르면 위 사진과 같이 이미지 타입을 선택할 수 있다.
각 주요 항목의 의미는 다음과 같다.
- Raw (dd): 원본 매체 그대로 이미지 생성
- E01: 용량을 줄인 압축 이미지 생성
보통은 E01을 선택해 주면 된다.
다음으로 증거 정보를 입력하는 팝업이 뜬다. 항목에 맞게 입력 후 다음으로 넘어가면 된다.
다음으론 이미지 파일의 이름, 저장위치, 분할저장, 압축을 설정할 수 있다.
Image Fragment Size는 분할저장 사이즈를 지정하는 항목으로 분할하지 않을 경우 0을 입력하면 된다.
Compression은 압축률을 지정하는 항목으로 숫자가 커질수록 압축률이 좋다.
준비가 다 되면 Start를 눌러 이미지를 생성하면 된다.
이미지 생성이 정상적으로 끝나면 위 사진과 같이 이미지 요약 결과와 로그가 같이 생성된다. 로그에서는 이미지 정보를 볼 수 있다.
