Tableau Imager
소개[편집]
Tableau Imager(TIM)는 Guidance Software에서 개발한 디스크 이미징 도구이며 Windows XP 이상의 환경에서 실행 가능하다. Guidance Software 홈페이지(https://www.guidancesoftware.com/products/Pages/tableau/products/software/tableau-imager.aspx#)에서 무료로 다운받아 사용 가능하다.
.E01, .DD, .DMG 형식으로 디스크를 이미징할 수 있으며, 사용자가 .E01 압축 레벨을 선택할 수 있다. 이미지 작업 스케줄링 기능이 있어 순서대로 또는 동시에 작업하도록 설정할 수 있다. 다른 이미지 도구들과 마찬가지로 MD5, SHA-1 해시 값을 계산하는 기능이 있다. 또한 다른 도구들과 비교했을 때 이미징 속도가 빠르다는 장점이 있다. 단, Tableau 社의 쓰기방지장치(write-blocker)가 연결이 되어 있어야만 이미징 작업을 할 수 있다.
사용법[편집]
Tableau Imager의 초기 실행 화면은 [그림 1]과 같다.
Tableau Imager는 쓰기방지장치(Write Blocker)가 연결된 디바이스에 한해 이미징 작업이 가능하다. 쓰기방지장치를 연결하지 않은 일반 디바이스([그림 2-6-9]에서 PhysicalDrive4,5에 해당)는 ‘Forensic Bridge Information’ 영역이 빈칸이다. 쓰기방지장치를 연결한 디바이스는 쓰기방지장치의 버전([그림 2-6-9]의 T35es)과 “Read-Only Mode”가 표시되어 있어 이미징 작업이 가능한 디바이스라는 의미를 나타낸다.
[그림 2]은 이미징 대상 디바이스(USB)를 쓰기방지장치에 연결한 모습이다. Tableau Imager는 위와 같이 디바이스에 쓰기방지장치를 연결하면 이미징 메뉴인 ‘Acquire Device’가 활성화되어 이미징 작업이 가능해진다.
‘Acquire Device’를 클릭하면 [그림 2-6-11]과 같은 창이 오픈된다.
상단에 이미지 대상 디바이스의 모델명, 시리얼넘버, 용량 등의 정보가 표시되고, 이미징 파일을 저장할 경로를 지정하면 된다. 이미징 형식은 ‘Raw/DD’가 디폴트로 설정되어 있고, 조사관 정보, Case 정보, 에러복구 설정, 해시 계산, 스케줄링 옵션 등을 설정한다. ‘Sumbit’ 버튼을 클릭하면 이미징 작업이 시작되고, ‘Acquisition Queue’에서 이미징 내역을 확인한다.
도구기능[편집]
작업한 디바이스를 선택한 후 우클릭하고 ‘Acquisition Status’를 클릭하면 상세한 이미징 작업 내역이 뜬다. 이미징 작업 설정 값, 로그, 작업 시간 등의 내역을 보여준다.
이 때, 작업 내역을 보여주는 ‘Status’ 탭을 클릭하면 [그림 2-6-12]와 같은 상태를 확인할 수 있다.
작업 시간정보, 속도, 소요시간, 이미지 파일 크기 등을 확인할 수 있으며 다른 도구와 다르게 작업 내역을 시각화하여 보여준다. ‘Log’ 탭에는 ‘Settings’, ‘Status’ 탭의 작업 내역을 텍스트로 보여준다.
이미징 설정 화면에서 ‘Error Recovery’ 옵션은 오류가 있는 섹터를 읽을 수 있는 상태로 복구하는 옵션이고, ‘Scheduling’은 작업 우선순위를 설정 옵션이다.
제한사항[편집]
Windows XP 이상의 환경에서 실행 가능하며, x86(32bit), x64(64bit) 환경 상관없이 Tableau Imager를 실행할 수 있다. 단, 반드시 ‘쓰기방지장치(Write-Blocker)’가 연결되어 있어야 한다.
수사 활용 방안[편집]
이미징 작업시 무결성 확보가 가장 큰 이슈로 작용한다. Tableau Imager의 경우 쓰기방지장치를 연결한 디바이스에 한해서 이미징 작업이 가능하기 때문에 무결성이 확실하게 보장된다고 본다.
