[Forensic] 디스크 이미징 & 해시 함수

Disk Imaging

• 디스크 이미징 : 디지털 저장매체의 복제본인 디스크 이미지를 생성하는 과정.
• 디지털 저장매체 : 하드디스크나 SSD와 같이 데이터를 저장하는 장치
• 디스크 이미지 : 디지털 저장매체에 저장되어 있는 디지털 데이터를 바이트 단위로 복제해서 하나의 파일로 저장한 것으로, 디지털 저장매체와 달리 하나의 파일 형태로 존재.

→ 디스크 이미징이란, 원본 디지털 저장매체에서 복제본인 디스크 이미지를 생성하는 과정

FTK Imager

메뉴	의미
Phisical Drive	물리적인 드라이브(=디스크)를 프로그램에 추가
Logical Drive	논리적인 드라이브를 프로그램에 추가
Image File	디스크 이미지 파일을 프로그램에 추가
Contents of a Folder	특정 폴더의 파일들을 프로그램에 추가

디스크와 드라이브

• 디스크 : 물리적인 형태를 지닌 저장매체, 하드디스크나 SSD가 포함됨
• 드라이브 : 논리적으로 구분되는 저장공간. C 드라이브나 D 드라이브가 포함, 하나의 디스크가 여러 개의 드라이브를 가지기도 함

• 추가한 디스크를 우클릭한 후, Export Disk Image 버튼 선택

저는 SSD가 있어서 임의로 실행했습니다.

• Export Disk Image : FTK Imager에 추가된 증거물들을 디스크 이미지로 생성해서 내보내는 동작을 수행함.

• 디스크 이미지를 저장할 위치를 선택하는 창이 뜨면 Add 클릭
  

• 위와 같은 창이 뜸. 4가지의 디스크 타입을 선택할 수 있음

디스크 이미지 파일 확장자	설명
Raw (dd)	원본 디지털 저장매체에 저장된 데이터를 어떠한 압축 없이 원본 그대로 저장하는 파일 확장자. 원본 그대로의 데이터를 Raw 데이터라고 불리며, Unix/Linux OS에서 수행하는 dd 명령어를 수행한 결과와 비슷
E01	일반적으로 많이 사용되는 디스크 이미지 파일 확장자. Encase라는 디지털 포렌식 S/W와 함께 널리 보급됨. 원본 데이터를 압축하여 저장하기 때문에 파일 크기가 작아지고, CRC 및 MD5 필드를 통해 파일 변조를 검증할 수 있음
SMART, AFF	잘 사용되지 않거나 특수한 경우에 이용

디스크 이미징 vs. 디스크 복제 vs. 복사

• 디스크 복제 : 원본 저장매체와 동일한 디지털 데이터를 가지는 복사본 저장매체를 만드는 행위. 디스크 이미징을 수행하면 디스크 이미지 파일이 생성되는 반면, 디스크 복제는 복사본 저장매체가 생성됨
• 복사 : 파일이나 폴더 단위의 디지털 데이터를 별개의 저장매체에 복사하는 행위. 저장매체 중 일부의 데이터만을 옮기는 방법.

해시 함수(Hash Function)

해시 함수

• 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 함수
• 단 1비트만 바뀌어도 출력 값이 완전히 달라지기 때문에, 조금이라도 데이터가 변할 경우 해시값이 변하게 됨. 이를 통해 법정 증거로 활용할 때 다시 해시값을 계산하여 그 값이 동일한지 확인하는 방식으로 데이터의 무결성을 확인할 수 있음.

해시값 계산

• Powershell을 이용하여 해시값을 계산할 수 있음

Get-FileHash <FileName> -Algorithm <Algorithm> | Format-List

위는 직접 실행해본 예시이다.
<FileName> 에 해시값을 얻고 싶은 파일명을 넣으면 되고, <Algorithm>에는 본인이 원하는 해시 알고리즘을 넣으면 됨.

MD5

• 해시 함수들 중 짧은 값이 나오게 되는데, 그만큼 안전성이 떨어짐을 의마하고, 충돌 저항성이 낮다고 표현 가능
• 출력 값은 128비트(16바이트) => 취약함

SHA(Secure Hash Algorithm)

• NSA가 설계해 NIST에 의해 표준으로 지정됨.
• 가장 많이 사용되는 해시 함수는 SHA-2 계열의 함수.
• SHA256 : 256비트(32바이트) ; 권장
• SHA512 : 512비트(64바이트) ; 권장