FTK Imager

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

FTK Imager는 FTK(Forensic Toolkit)를 개발한 AccessData에서 제공하는 무료 이미징 도구이며 Windows 운영체제 환경에서 실행 가능하다. AccessData 홈페이지(http://www.accessdata.com/support/product-downloads) 에서 무료로 다운받아 사용 가능하다. 로컬 하드 드라이브, 플로피 디스크, Zip 디스크, CD, DVD, 폴더나 파일 등 모든 경우에서 이미지 파일을 생성할 수 있다. Windows의 탐색기처럼 폴더와 파일을 미리보기 할 수 있으며, 로컬/네트워크 드라이브에 저장된 이미지 내용의 미리보기도 가능하다. .E01, .S01, .AFF, .001(RAW/dd) 등의 이미지 마운트 기능도 제공하여 이미지를 읽기전용으로 마운트하고 이미지 내의 콘텐츠를 확인할 수 있다. 또한 휴지통에서 복구한 파일도 확인할 수 있다. 이미지를 추출할 때, AD 암호화 기능을 사용할 수 있다. 암호화할 수 있는 이미지 형식은 .AD1 .E01, .S01, .AFF, .001이며, 지원하는 암호 알고리즘은 SHA-512, AES 128, 192, 256 등이 있다. 생성한 이미지에 대해서는 MD5와 SHA-1 해시 생성이 가능하다.

사용법

FTK Imager를 이용하여 메모리를 이미징하는 방법은 다음과 같다. FTK Imager를 실행한 뒤 도구 모음에서 [그림 1]의 메모리 캡쳐 버튼을 클릭하면 [그림 2]와 같은 팝업창이 나타난다.



[그림 1] FTK Imager 메모리 캡쳐



[그림 2] 메모리 캡쳐 팝업



메모리 캡쳐 버튼 클릭 후 나타난 팝업창에서 1번 “Browse”버튼은 메모리 이미지가 저장될 위치를 지정할 수 있는 버튼이다. 필수적으로 저장경로를 설정해야 하며, 저장경로를 설정한 뒤 메모리를 이미징할 수 있는 “Capture Memory” 버튼이 활성화된다. 2번의 “Destination filename”은 저장될 메모리 이미지 파일명을 뜻한다. 3번 “Include pagefile” 체크박스는 시스템의 페이지 파일을 저장경로에 메모리 이미지와 함께 덤프한다. 4번 “Create AD1 file” 체크박스는 메모리나 페이지 파일을 이미징한 뒤 FTK Imager로 마운트가 가능한 AD1파일을 추가적으로 생성한다. 생성된 AD1 파일에는 메모리 덤프 파일과 선택적으로 페이지 파일을 덤프하도록 옵션을 설정했다면 페이지 파일까지 포함되어 있다.

도구기능

FTK Imager의 메모리 이미징 기능은 RAW파일 포맷의 메모리 이미지 파일을 덤프하며 디폴트 값으로 “memdump.mem”이라는 파일명으로 생성한다. 메모리 이미징 기능을 실행하면 [그림 3]과 같은 팝업 창이 생성된다.



[그림 3] FTK Imager 메모리 이미징



메모리 이미징의 팝업창에서 메모리 이미지가 저장될 경로와 메모리 이미징 진행도를 확인할 수 있다.

제한사항

Windows XP 이상의 환경에서 실행 가능하며, x86(32bit), x64(64bit) 환경 상관없이 FTK Imager를 실행할 수 있다. FTK Imager의 설치 파일이 x86, x64로 구분되어 있기 때문에 시스템을 확인하여 올바른 설치 파일로 설치해야 한다. GUI 인터페이스로 메모리 사용량이 다른 도구에 비하여 10 배 이상 크지만 Windows XP를 제외한 OS에서 속도가 굉장히 빠르다.

수사 활용 방안

FTK Imager의 메모리 이미징 기능은 메모리 사용량이 굉장히 크기 때문에 메모리 이미지의 무결성에 많은 훼손이 있다. 하지만 이미징 속도가 타 도구의 배 이상 빠르기 때문에 상황에 따라 활용 할 수 있다. 이미 종료된 프로세스를 제외하고 시스템의 현재 실행중인 프로세스의 정보가 필요한 상황에 이용하는 것이 좋다. 디스크 이미지와 메모리 이미지가 필요할 때 FTK Imager를 이용하면 모두 해결할 수 있으므로 이런 상황에 FTK Imager가 활용될 수 있다.