이미지 마운트 도구
이미지 마운트 도구란 이미징 도구를 이용하여 생성한 디스크 이미지 파일을 시스템에 마운트하여 이미지 내부의 파일과 폴더를 확인할 수 있게 도와주는 도구이다.
- Mount Image Pro
- Arsenal Image Mounter
- OSFMount
- P2 eXplorer
- FTK Imager
- EnCase
- Live View
- raw2vmdk
- ImDisk
이미지 마운트 도구 기능 분석[편집]
본 보고서에 소개된 이미지 마운트 도구는 공통적으로 이미징 도구를 이용하여 이미징한 파일을 마운트하는 기능을 제공한다.
대부분의 도구가 유사한 기능을 제공하지만 지원하는 이미지 파일 형식의 범위가 약간씩 다른 경우도 있다. 또한 이미지 파일의 무결성에 영향을 줄 수도 있는 Read Only/Writable 기능, 편의를 위한 자동 마운트 여부 등 기능별 비교를 위해 테스트를 진행했다.이미지 마운트 도구의 기능을 비교하기 위한 테스트 전략은 [표 1]과 같다. 이미지 파일을 마운트하는데 소요되는 시간은 대부분 1분 미만이므로 큰 의미가 없기 때문에 테스트 항목에 포함시키지 않았다.
| 기능 | 설명 |
|---|---|
| 실행 가능한 OS | 모두 Windows 운영체제 기반 |
| 이미지 파일 형식 | 지원하는 인풋 파일의 형식(E01, DD, vmdk 등) |
| 메모리 사용량 | 프로그램 실행 후 이미지 파일 마운트 시 소모되는 메모리 사용량 |
| 해시값 계산 | 무결성 검증을 위한 해시 값 계산 여부 |
| 재부팅 후 자동 마운트 여부 | 이미지를 마운트한 상태에서 PC를 재부팅한 후에 자동으로 마운트 되는지 여부 |
| Read Only 기능 | 읽기전용 모드 제공 여부 |
| Writable 기능 | 이미지 파일 수정 가능 여부 |
| 멀티파티션 마운트 | 멀티파티션 이미지 마운트 가능 여부 |
| 드라이브 확장 가능 | 마운트한 드라이브 확장 가능 여부 |
| 마운트한 이미지 포맷 | 마운트한 드라이브 포맷 가능 여부 |
위에서 제시된 테스트 전략을 기반으로 각 도구별로 제공하는 기능을 비교했다. 도구별 기능 비교 결과는 [표 2]와 같다.
| 실행 가능한 OS | Windows | Windows | Windows | Windows | Windows | Windows |
|---|---|---|---|---|---|---|
| 프리웨어/상용 | 상용 ($299.95) |
프리웨어 | 프리웨어 | 상용 ($199) |
프리웨어 | 상용 ($7,427) |
| 이미지 파일 형식 | E01, EX01, S01, SFB, 001, AFF, RAW, DD, ISO, VMDK, DMG, VHD, EVE, CMP, GDC, GDR, AD1, L01, LX01 | E01, EX01, 001, RAW, DD, VHD, VDI, XVA, VMDK | E01, S01, IMG, DD, ISO, BIN, 00X, NRG, SDI, AFF, AFM, AFD, VMDK, VHD | E01, EX01, S01, SFB, 001, AFF, RAW, DD, ISO, VMDK, DMG, VHD,
VDI, AD1, L01, LX01 |
E01, S01, AFF, VHD, I01, 001, TAR, ZIP, AD1, VMDK, GHO, ISO, IMG, BIN, TAO, DAO, MDS, CDI, CCD, P01, CUE, NRG, CD, PDI, PXI, GCD, GI, CIF, VC4, C2D, DMG | E01, EX01, L01, LX01, 001, RAW, DD, VMDK, VHD |
| 메모리 사용량 | 약 27MB | 약 29MB | 약 15MB | 약 132MB | 약 32MB | 약 49MB |
| 해시값 계산 | X | X | X | O | X | O |
| 재부팅 후 자동 마운트 여부 |
O | X | O | O | X | X |
| Read Only 기능 | O | O | O | O | O | O |
| Writable 기능 | O | O | O | X | O | O |
| 멀티파티션 마운트 | O | O | O | O | O | O |
| 드라이브 확장가능 |
X | X | O | X | X | X |
| 마운트한 이미지 포켓 |
X | X | O | X | X | O |
비교 대상 도구들은 모두 Windows 운영체제 환경에서 실행 가능한 도구이다. 마운트 전용 도구 중 상용인 도구는 Mount Image Pro와 P2 eXplorer Pro가 있다. 마운트 가능한 이미지 파일 종류는 FTK Imager가 가장 많았고, 그 다음으로 Mount Image Pro, P2 eXplorer Pro, OSFMount, Arsenal Imager Mounter, EnCase 순이다.
도구에서 이미지 파일을 마운트 했을 때 소모되는 메모리양을 측정하기 위해 100MB, 112GB 이미지 파일을 마운트 했다. 결과는 이미지 파일 크기에 상관없이 메모리 사용량은 유사했다. 메모리를 가장 많이 사용하는 도구는 P2 eXplorer Pro 였으며, 가장 적게 사용하는 도구는OSFMount 였다. 도구 자체에서 마운트 전/후 해시 값을 보여주는 도구는 통합 포렌식 도구인 EnCase가 유일했으며, P2 eXplorer Pro의 경우 해시 값을 보여주지는 않지만 도구 내에 저장하고 있다가 언마운트 후 해시 값 변경 여부를 알려준다. Mount Image Pro, OSFMount, P2 eXplorer Pro를 사용하여 마운트한 경우 재부팅하더라도 자동으로 대상 이미지 파일을 마운트했다.
모든 도구가 멀티파티션 마운트가 가능하고 Read Only 기능을 제공했으며, P2 eXplorer Pro는 유일하게 Writable 기능을 제공하지 않는다. OSFMount는 마운트한 드라이브를 임의의 사이즈로 확장할 수 있는 기능을 제공한다. 또한 마운트한 드라이브를 포맷할 수 있으며, EnCase는 마운트한 드라이브를 wiping 할 수 있다. 도구별로 제공하는 기능에 큰 차이는 없으나 상황 및 필요항목에 따라 적절한 도구를 선택하여 이미지 파일을 마운트하면 된다.
