CHAPTER 2? FTK Imager 활용                                                        017

Forensic Format Image (AFF)”, “Virtual Hard Disk (VHD)”, “Tar Archive (TAR)”,
“Zip Archive (ZIP)”, “AccessData Logical Image (AD1)”, “Raw Cd/DVD Image (ISO,
BIN, IMG, TAO, DAO)”와 같은 확장자가 많이 사용되고 있다. FTK Imager에서 지원
하는 매체와 이에 따른 파일 시스템의 종류는 표 2.2에서 나열한 것처럼 다양한 매체와
파일 시스템을 지원한다.

표 2.2에서처럼 DVD나 CD에서 사용되고 있는 파일 시스템인 “UDF”, “ISO”, “Joliet”,
“CDFS”는 기본적으로 지원하면서, 이동식 디스크로 많이 사용하고 있는 USB, 하드디
스크, SSD, SD카드와 같은 각종 디스크에서 많이 사용되고 있는 “FAT 12, 16, 32”와
대용량 디스크를 위한 파일 시스템인 “NTFS”도 완벽하게 지원한다. 그 밖에도 리눅스
운영체제에서 사용하는 “EXT 2, 3, 4”와 같은 저널링 파일 시스템도 완벽히 지원하고
있으며, 서버를 위한 파일 시스템 “FS”, “HFS+”, “HFSX”도 지원한다.

2.2? FTK Imager에 드라이브 로드

FTK Imager의 대표적인 기능은 물리적 또는 논리적인 드라이브에 있는 장치를 이미징
하는 것이다. 여기에서 말하는 “이미징”이란 이해를 돕기 위한 예를 들면 일반적으로
압축 파일 형식에 많이 사용하고 있는 “ZIP” 파일과 같은 압축 파일을 예로 들 수 있다.
즉 여러 개의 파일을 하나의 압축 파일로 표현하는 것과 비슷하다. 이미징은 물리적 또
는 논리적 드라이브에 저장되어있는 모든 영역의 데이터를 하나의 파일로 압축하는 작
업이다.

그림을 통해 FTK Imager의 기본화면 및 인터페이스 그리고 기본적인 기능인 Evidence
추가하는 방법과 이미징 과정을 알아보도록 한다.