이미징 도구

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

이미징 도구란

  디스크의 원본 상태를 그대로 유지시키기 위해 물리적 데이터를 첫 번째 섹터부터 마지막 섹터까지 복사하여 파일 형태로 만드는 도구이다. 이미징 도구는 임베디드 기기가 따로 있는 하드웨어 기반 도구와 일반 PC에서 실행할 수 있는 소프트웨어 기반 도구로 나눌 수 있는데, 이곳에서는 다음과 같은 소프트웨어 기반 도구를 대상으로 분석한다.


이미징 도구 기능 분석



  본 보고서에 소개된 이미징 도구는 공통적으로 조사 대상 디스크의 물리적/논리적 드라이브를 대상으로 이미징 작업을 진행할 수 있도록 도와주는 기능을 제공한다.유사한 기능을 제공하지만 각기 다른 상황에 따라 전체 수집 또는 선별 수집, 암호화 기능, 압축 기능 등이 필요한 경우가 있다. 또한 이미징 속도가 조사에 영향을 미치는 경우도 있을 것이다. 따라서 본 항에서는 각 이미징 도구가 제공하는 기능의 비교를 위해 테스트 전략을 수립했으며, 기능별 테스트 결과 비교를 통해 적합한 도구를 선택할 수 있도록 가이드한다. 마지막으로 테스트 항목을 대상으로 5개 도구의 비교 테스트 결과를 서술한다.
  이미징 도구의 기능을 비교하기 위한 테스트 전략은 [표 1]과 같다. 도구에서 공통적으로 제공하는 기능 외에 도구별 특정 기능 제공 여부를 비교하는 것에 주안점을 두었다.

[표 1] 이미징 도구 테스트 전략
기능 설명
실행 가능한 OS Windows, OS X 등
소요시간 이미징 속도 측정
이미징 파일 형식 아웃풋 파일의 형식(E01, DD 등)
이미징 파일 형식 변환 가능 여부 다른 파일 형식으로 변환하는 기능 제공 여부
해시값 계산 여부 무결성 검증을 위한 해시값 계산(MD5, SHA-1 등)
Image Verification 이미징 완료 후 이미지 파일 검증 기능 제공 여부
압축 기능 파일 사이즈 축소를 위한 압축 기능 제공 여부
이미지 분할 기능 이미지 파일 분할 저장 기능 제공 여부
포터블한 사용 가능 여부 포터블하게 사용 가능한지 여부
암호화 기능 암호화 기능 제공 여부
DCO/HPA 탐지 DCO/HPA 영역 탐지 여부
휘발성 데이터 수집 물리메모리, 프로세스 목록 등 수집 가능 여부
데이터 선별 수집 특정 데이터 선별 수집 가능 여부
쓰기방지기능 자체적으로 쓰기방지 기능 제공하거나 쓰기방지장치를 연결해야하는지
Error 복구 기능 작업중 에러 발생시 자동 복구 기능 제공 여부



위 기능을 기반으로 각 도구별로 이미징 작업을 진행했다. 이미징 작업시 정의한 공통 설정사항은 아래와 같다.

 o 타겟 디스크 사양 : FUJITSU MHW2120BH
 o 타겟 디스크 크기 : 111GB
 o 디스크 할당량 : 6GB, 미할당량 : 105GB
 o 이미징 파일 형식은 E01으로 설정
 o MD5, SHA-1 해시값 생성
 o‘Verification’ 기능 사용하지 않음
 o 이미지 파일 압축하지 않음
 o 암호화 기능 사용하지 않음

테스트 결과에 대한 이미징 도구별 비교는 [표 2]와 같다.

[표 2] 이미징 도구 비교
기능 / 도구면 X-Ways
Imager
FTK
Imager
Tableau
Imager
EnCase
Imager
Mac
Quisition
실행 가능한 OS Windows Windows Windows Windows OS X
소요시간(hh:mm) 01:35 01:35 01:43 01:43 01:37
프리웨어/상용 상용
(EUR 149.90)
프리웨어 프리웨어 프리웨어 상용
($1,200)
이미지 파일 형식 DD, 001,
E01, IMG, CTR
DD, 001,
SMART, E01, AFF
001,E01 Ex01,E01 DD,
001, E01
이미지 파일 형식 변환 가능 여부 O O X O X
해시 값 계산 여부 O(Checksum
8~64,
CRC16,
CRC32,
MD4, MD5,
SHA-1,
SHA-256,
O
(MD5, SHA-1)
O
(MD5,
MD5+SHA-1)
O
(MD5,SHA-1,
MD5+SHA-1)
O
(MD5, SHA-1,
SHA-256)
RipeMD-128,
RipeMD-160,
ed2k, Adler32,
Internal)
Image Verification O O X O X
압축 기능 O O O O O
이미지 분할 기능 O O O
(E01으로 이미징하는 경우 분할해제 없음)
O O
포터블한 사용
가능 여부
O O X O O
암호화 기능 O
(AES-128,
AES-256)
O
(AD Encryption)
X O X
DCO/HPA 탐지 O X O O X
휘발성 데이터 수집 X O X O O
데이터 선별 수집 X O X O O
쓰기방지기능 O O X
(장치연결 필요)
X
(장치연결 필요)
O
Error 복구 기능 X X O X X



  우선 MacQuisition을 사용한 이미징 작업의 경우 다른 도구와 달리 도구를 실행한 환경과 사양이 다르기 때문에 소요시간이 직접적인 비교 대상이 될 수 없다는 것을 염두에 두어야 한다.X-Ways Imager, FTK Imager, Tableau Imager, EnCase Imager의 이미징 파일을 비교한 결과 [표 3]과 같이 모든 소스데이터의 해시 값이 동일하게 나타났다. 이는 이미징 작업시 도구가 원본 디바이스를 훼손하지 않기 때문에 무결성을 보장한다는 의미이다.

[표 3] 이미징 도구 해시 값 비교
해시 종류/도구명 MD5 SHA-1
X-Ways Imager 2705AEE66892D7EC
881B4833FF9927A5
D90DC575AE0071A230
68ABF402561C310AE9E1F6
FTK Imager 2705aee66892d7ec88
1b4833ff9927a5
d90dc575ae0071a2306
8abf402561c310ae9e1f6
Tableau Imager 2705aee66892d7ec881b
4833ff9927a5
d90dc575ae0071a230
68abf402561c310ae9e1f6
EnCase Forensic Imager 2705aee66892d
7ec881b4833ff9927a5
d90dc575ae0071
a23068abf402561c310ae9e1f6
MacQuisition 2705aee66892d
7ec881b4833ff9927a5
d90dc575ae0071a23068
abf402561c310ae9e1f6

  우선 X-Ways Imager와 FTK Imager의 이미징 속도가 다른 도구에 비해 빠르게 측정되었으며 지원하는 이미지 파일 형식도 다양하다. 나머지 두 개 도구는 쓰기방지장치 연결이 필요한 도구이나 쓰기방지장치 연결이 이미징 속도에 직접적인 영향을 미치는지 여부는 알 수 없다.

  MacQuisition은 Mac OS X 환경에서 작업할 수 있는 유일한 GUI기반 이미징 도구이며 가격도 가장 높다. Windows 환경에서는 X-Ways Imager가 유일한 상용 도구이며, 나머지 도구는 모두 벤더 홈페이지에서 무료로 다운받을 수 있다.X-Ways Imager, FTK Imager, EnCase Imager는 이미지 파일을 인풋으로 입력 가능하므로 기존 이미지 파일의 형식을 변환시킬 수 있다.

생성한 이미지 파일의 해시 값을 계산하는 기능은 모든 도구에서 기본적으로 MD5, SHA-1 해시를 제공하지만 X-Ways Imager는 다른 도구와 비교했을 때 압도적으로 다양한 해시 종류를 제공한다.이미지 파일 생성 직후 해시 값을 재계산하는 ‘Image Verification’ 기능은 X-Ways Imager, FTK Imager, EnCase Imager에서 제공한다.

  모든 도구가 이미지 파일 생성시 압축 기능 및 분할 기능을 제공한다. 특이한 점은 Tableau Imager를 제외한 모든 도구는 E01 형식으로 이미징하더라도 이미지 분할 옵션을 해제할 수 있지만 Tableau Imager는 반드시 분할하여 생성한다. 또한 Tableau Imager는 유일하게 도구 사용시 설치 프로세스가 필요한 도구이다. 반면 다른 도구들은 포터블하게 사용할 수 있다.X-Ways Imager, FTK Imager, EnCase Imager 등은 이미지 파일 생성시 파일 암호화 기능을 제공하며 사용하는 암호는 도구마다 상이하다.

  X-Ways Imager, Tableau Imager, EnCase Imager는 DCO/HPA 탐지가 가능하다.휘발성 데이터를 수집할 수 있는 도구 중 FTK Imager,EnCase Imager는 물리메모리 이미징이 가능하고 데이터 선별 수집이 가능한 반면, MacQuisition은 활성 상태에서 주요 데이터를 선별하고 수집할 수 있으나 비활성 상태의 선별 수집은 불가능하다.쓰기방지 기능은 도구에서 기본적으로 제공하는 기능이나 Tableau Imager, EnCase Imager의 경우 하드웨어 쓰기방지장치가 반드시 필요하며, 쓰기방지장치를 연결해야만 도구가 조사 대상 디바이스를 인식할 수 있다.

  마지막으로 Tableau Imager는 유일하게 오류 섹터를 읽을 수 있는 상태로 복구하는 Error Recovery 기능을 제공한다. 도구별로 제공하는 기능에 차이가 있으므로 상황 및 필요항목에 따라 적절한 도구를 선택하여 이미징 작업을 진행하면 된다.