소개

Mount Image Pro는 GetData에서 개발한 이미지 마운트 도구이며 Windows 환경에서 실행 가능하다. 상용 소프트웨어로 $299.95(약 30만원)에 구매할 수 있다. 마운트할 수 있는 포맷은 아래와 같으며 이미지 파일을 입력하면 자동으로 읽기 전용으로 접근한다.

ο EnCase .E01, .L01
ο EnCase7 .Ex01, Lx01
ο AccessData .AD1
ο Unix/Linux DD, RAW 이미지
ο Forensic File Format .AFF
ο SMART
ο ISO (CD/DVD)
ο VMWare
ο Safeback v2
ο ProDiscover
ο Microsoft VHD
ο Apple DMG

NTFS, FAT, FAT16, FAT32 및 리눅스 파일시스템 드라이버와 호환이 가능하며 디스크의 미할당영역도 확인 가능하다.

사용법

[그림 1]Mount Image Pro 초기 화면

Mount Image Pro의 초기 실행 화면은 [그림 1]과 같다.

[그림 2]Mount Image Pro – Device Selection

이미지 파일을 마운트하기 위해서는 ‘Mounted Images’ 영역에 이미지 파일을 직접 드래그하여 올리거나 ‘Mount image(ctrl+M)’ 버튼을 클릭하여 이용할 수 있다. ‘Mount image’ 버튼을 클릭하면 [그림 2]와 같은 화면이 뜬다. 로컬 PC에 연결된 디바이스를 선택하면 해당 디바이스가 읽기 전용으로 마운트되고, ‘Add Image’를 클릭하여 선택한 이미지 파일을 마운트할 수 있다.

[그림 3]Mount Image Pro – Mounted image information

이미지를 마운트하면 [그림 3]과 같이 마운트된 이미지에 대한 정보가 출력된다.

‘View’ 버튼을 클릭하면 마운트한 이미지의 볼륨을 오픈할 수 있다. Mount Imager Pro에서는 입력한 이미지 파일의 무결성을 위해 MD5 해시 값 또는 체크섬 등을 비교할 것을 권장한다. EnCase, FTK Imager 등의 해시 값 계산 도구를 사용하여 마운트된 피지컬 드라이브의 해시 값과 원본 드라이브의 해시 값을 비교하여 동일한 결과가 나오면 마운트한 드라이브의 무결성을 입증할 수 있다.

도구 기능

하단 좌측에 ‘Properties’ 영역에 마운트된 볼륨의 정보를 보여준다. 해당 영역에 나타나는 볼륨 정보는 아래와 같다.



o 용량
o 총 섹터 수
o 실린더 수
o 실린더 당 트랙 수
o 트랙 당 섹터 수
o 섹터 당 바이트 수

[그림 4]Mount Image Pro - Options

그 밖에 [그림 4]와 같이 프로그램 시작 시 자동으로 마운트할 수 있는 옵션이 있어 시스템을 재부팅해도 분석 대상을 다시 마운트 할 필요가 없으며, 드라이브 명을 임의로 설정할 수 있는 옵션 등이 있다.

제한사항

Windows XP 이상의 환경에서 실행 가능하며, x86(32bit), x64(64bit) 환경 상관없이 Mount Image Pro를 실행할 수 있다. 단, 반드시 동글키를 삽입해야 프로그램 사용이 가능하다.

수사 활용 방안

현장에서 수집한 디스크의 사본 파일인 디스크 이미지를 분석하기 위해서는 마운트 도구를 사용해야 한다. EnCase 이미지, raw 이미지, CD/DVD 이미지, 가상머신 이미지, 맥 DMG 이미지까지 가장 많은 종류의 이미지 포맷을 입력할 수 있도록 지원한다. Mount Image Pro는 GUI 형태이며, 심플한 기능을 제공하기 때문에 손쉽게 사용할 수 있다.