CHAPTER 2? FTK Imager 활용                                        015

2.1? FTK Imager

FTK Imager는 이미징 도구 중 하나이며, 원본 디스크와 같은 디지털 증거를 사본으로
만들기 위해 많이 사용되는 포렌식 도구 중 하나이다. FTK Imager는 Access Data 홈
페이지에서 무료로 다운로드 받아 사용할 수 있으며, 비록 FTK 제품군 중 무료로 사용
할 수 있는 포렌식 도구이긴 하지만 FTK Imager에서 제공하는 기능을 통해 파일들의
속성(데이터 삭제 여부와 같은 흔적)과 분석을 할 수 있다. 그밖에도 FTK Imager를 통
해 할 수 있는 작업은 아래와 같다.

yy대표적으로 하드디스크 외 USB 메모리, 플로피 디스크, Zip 디스크, CD, DVD 등
   모든 저장장치에 대한 이미지를 만들 수 있다.

yyFTK Imager를 통해 만든 각 저장장치로부터의 이미지 파일을 불러와서 내부파일
   정보 및 내용을 확인할 수 있다.

yyWindows 탐색기와 비슷한 화면에서 읽기전용(Read Only) 모드를 활용하여 원본
   드라이브에서 본 것과 똑같은 이미지를 확인할 수 있다.

yy이미지 파일 내부에 있는 파일이나 폴더를 내보내기 기능을 통해 파일 내보내기가
   가능하다.

yy휴지통에서나 보기에는 삭제되었지만, 아직 데이터영역이 덮어지지 않았을 경우 파
   일을 확인할 수 있으며, 이와 동시에 복구도 가능하다.

yy무결성을 위한 해시함수 MD5(Message Digest 5)와 SHA-1(Secure Hash
   Algorithm) 중 하나를 사용하여 파일에 해시를 만들 수 있다.

FTK Imager에서 사용 가능한 이미지 확장자는 “Raw(dd), S91, E01, AFF, AD1, L01
등”이며, 이와 같은 이미지 파일 중 일부는 물리적으로 마운트하여 이미지 파일 내부를
확인할 수 있다. 이와 관련하여 FTK Imager에서 지원하는 확장자에 대한 자세한 내용
은 아래 표 2.1과 같다.