소개[편집]

OSFMount는 PassMark Software에서 개발한 이미지 마운트 도구이며 Windows 환경에서 실행 가능하다. PassMark Software 홈페이지(https://www.osforensics.com/tools/mount-disk-images.html) 에서 무료로 다운받아 사용 가능하다.

OSFMount에서 지원하는 이미지 포맷은 아래와 같다.

  o Raw Image (.IMG, .DD)
  o Raw CD Image (.ISO, .BIN)
  o Split Raw Image (.00N)
  o Nero Burning ROM Image (.NRG)
  o System Deployment Image (.SDI)
  o Advanced Forensic Format Images (.AFF)
  o Advanced Forensics Format Images with meta data (.AFM)
  o Advanced Forensics Format Directories (.AFD)
  o VMWare Image (.VMDK)
  o EnCase EWF (.E01)
  o SMART EWF (.S01)
  o VHD Image (.VHD)

사용법[편집]

OSFMount의 초기 실행 화면은 [그림1]과 같다.

[그림 1][그림 1] OSFMount 초기 화면

‘Mount new(Alt+n)’를 클릭하면 마운트할 이미지를 선택하는 창이 오픈된다. 디스크 이미지 파일, 메모리 덤프, 비어있는 메모리 드라이브 중에서 한 개를 선택할 수 있다. 파티션이 나뉜 이미지 파일의 경우 모든 파티션을 선택하거나 특정 파티션을 선택할 수 있다. 다른 마운트 도구와 마찬가지로 ‘Read-only’로 마운트 가능하다. 이미지를 마운트하면 [그림2]와 같은 화면을 확인할 수 있다.

[그림 2] OSFMount – image mounted

OSFMount를 설치하면 CLI 모드의 프로그램도 함께 제공한다. 관리자 권한으로 커맨드 창을 실행하여 사용한다. 기본 사용법은 [표 1]과 같다.

위 기본 사용법에 대한 입력 파라미터 및 옵션 사항을 [표 2]에서 설명한다.

도구기능[편집]

  메뉴바의 ‘Drive actions’에 마운트한 이미지에 적용할 수 있는 다양한 기능을 제공한다. OSFMount는 마운트한 이미지를 다른 포맷의 이미지 파일로 컨버팅하여 저장하는 기능을 제공하며, 램 디스크 데이터를 저장할 때도 사용된다. 컨버팅을 지원하는 이미지 파일 포맷은 마운트 가능한 이미지 파일 포맷과 동일하다.

  디스크를 ‘Read only’ 또는 ‘writable’하게 마운트 할 수 있다. 그러나 ‘writable’하게 설정한 경우 NTFS 파일시스템 내 삭제된 MFT 엔트리에 저장되어 있는 중요 분석 데이터에 덮어쓰기 할 수도 있으므로 ‘Read only’로 마운트 할 것을 권장한다.

  Raw 이미지 파일에 한해서 드라이브 사이즈를 확장할 수 있다. 단, 쓰기 가능하도록 설정되어 있어야 하며, 디스크 이미지의 포렌식 분석 시엔 사용하지 않도록 한다. 마찬가지로 쓰기 가능하도록 설정된 이미지를 포맷하는 기능도 있으며, 포렌식 분석 시엔 사용하지 않도록 한다.

  선택한 이미지 파일에 두 개 이상의 파티션이 존재할 때, 파티션 테이블(MBR 또는 GPT) 정보를 읽어와 특정 파티션만 선택하여 마운트할 수 있다. 이 경우 해당 파티션의 오프셋(주소)과 파티션 사이즈를 자동으로 계산해준다.

제한사항[편집]

  OSFMount는 Windows Server 2000~2008, Windows XP~7 환경에서 x86(32bit), x64(64bit) 환경 관계없이 실행 가능하다.

수사 활용 방안[편집]

  OSFMount는 메모리 덤프 마운트 기능을 제공하기 때문에 메모리를 마운트하여 EnCase 등의 분석 도구를 통해 메모리 구조를 확인할 수 있다. 또한 사용이 쉬운 GUI 모드, 가볍게 사용할 수 있는 CLI 모드를 제공하기 때문에 분석가가 적절히 사용 모드를 선택하여 사용할 수 있다.