소개[편집]

  P2 eXplorer는 Paraben에서 개발한 이미지 마운트 도구이며 Windows 운영체제 환경에서 실행 가능하다. P2 eXplorer(free) 홈페이지(https://www.paraben.com/p2-explorer.html)에서 무료로 다운받아 사용 가능하다. 무료 버전의 경우 32bit 환경에서만 실행 가능하며, EnCase7 및 가상머신 이미지 파일은 마운트가 불가능하다. P2 eXplorer Pro의 경우 모든 기능을 제공하며, $199(약 20만원)에 구매할 수 있다. P2 eXplorer Pro가 지원하는 이미지 파일 형식은 아래와 같다.

  o 피지컬 디스크 이미지
  o Paraben’s Forensic Replicator (.PFR)
  o 압축되거나 암호화된 PFR
  o EnCase
  o SafeBack 1,2,3
  o SMART
  o FTK DD
  o WinImage
  o Linux DD의 RAW
  o Paraben’s Forensic Containers
  o VMWare의 정적/동적 디스크 이미지
  o VMWare 스냅샷
  o VirtualPC의 정적/동적 디스크 이미지
  o VIrtualPC의 스탭샷
  o VirtualBox (VDI)

각 이미지의 형식을 자동으로 인식하며 MD5 해시 값 검증 기능을 제공한다.

사용법[편집]

  P2 eXplorer Pro의 초기 실행 화면은 [그림 1]과 같다.

[그림 1] FTP2 eXplorer Pro 초기 화면

  이미지 파일을 마운트하기 위해서는 프로그램 메인 화면의 ‘Mounted Disks’ 중 비어있는 Mount Point를 클릭한다. 그리고 ‘File-Mount’를 클릭하면 이미지 파일을 선택할 수 있는 창이 오픈된다. ‘Source file location’에 마운트 할 이미지를 입력하면 [그림 2-7-11]과 같이 ‘Source type’에 어떤 형식의 이미지 파일이 입력됐는지 자동으로 탐지하여 보여준다. 비밀번호 입력은 옵션사항이며, 비밀번호를 입력하면 마운트할 볼륨이 암호화된다. ‘OK’를 클릭하면 이미지 마운트가 완료된다. 마운트한 이미지를 선택한 후 우클릭하고, ‘Explore To’를 클릭하면 해당 볼륨을 오픈할 수 있다.

[그림 2] P2 eXplorer Pro – 마운트 할 이미지 선택

도구기능[편집]

이미지를 마운트하면 [그림 3]와 같이 ‘Mounted Disks’ 영역에 마운트한 이미지 정보를 보여준다.

[그림 3] P2 eXplorer Pro – 마운트한 이미지 정보

  해당 영역에 나타나는 볼륨 정보는 아래와 같다. 이 정보는 ‘View-Columns’ 메뉴에서 추가/제거할 수 있다.

  o 이미지 타입
  o 총 용량
  o 미할당영역 사이즈
  o 사용된 영역 사이즈
  o 이미지 파일 경로

  P2 eXplorer Pro는 이미지의 무결성 검증을 위해 MD5 해시 값을 계산 기능을 지원한다. ‘View Calculate MD5’ 옵션에 체크하면 된다. 이 기능은 MD5 해시 값 자체를 보여주는 것은 아니고 프로그램 내부적으로 입력한 이미지 파일의 마운트 전 MD5 해시 값을 저장하고 있다가 언마운트 직후 계산한 해시 값과 비교하여 파일에 수정행위를 가하지 않았을 경우 “MD5 has not changed.”라는 알림창을 띄운다. 대신 이 기능을 사용하는 경우 마운트 할 때 해시 값 계산 시간이 소요되기 때문에 일반적인 마운트 때보다 시간이 오래 걸린다.

제한사항[편집]

  Windows XP 이상의 환경에서 실행 가능하며, x86(32bit), x64(64bit) 환경 상관없이 P2 eXplorer Pro를 실행할 수 있다. 단, 무료 버전의 경우 64bit 환경에서 실행 불가능하다.

수사 활용 방안[편집]

  P2 eXplorer Pro는 다양한 종류의 이미지 형식을 지원한다. 또한 GUI 형태이고, 간단한 마운트 기능만 제공하기 때문에 손쉽게 사용할 수 있다.