무료 포렌식 이미지[Free RAW(DD)] 만들기 및 분석 (Guymager & Autopsy)

포렌식 이미지 만들기 및 분석 / Guymager & Autopsy

 

무료 포렌식 이미지[RAW(DD)] 만들기 및 분석 (Guymager & Autopsy)

 

FTK Imager 프로그램을 설치하고 RAW(DD) 이미지를 만들 수 있지만 Kali Linux를 사용하고 계신다면 [Kali Linux] - [Forensics] - [Forensic Imaging Tools] - [guymager(root)] 및 [autopsy(root)] 메뉴를 통해서 쉽게 포렌식 이미지를 생성하여 분석까지 할 수 있습니다.

Virtual Box에 설치한 Kali Linux에 USB를 연결해서 포렌식 이미지를 생성하기 위해서는 Virtual Box 설치 이후 VBox Guest Additions 이미지를 추가로 설치해 주셔야 합니다.

Windows 10, WSL2, Kali Linux에서는 Host 운영체제에 연결된 USB를 WSL2 Kali에서 /dev/에 mount 되지 않기 때문에 guymager를 이용해 이미지를 생성할 수 없습니다. 생성된 이미지를 Autopsy를 이용하여 분석할 수는 있습니다.

 

Guymager 실행법

 

guymager 실행 명령어

 

Kali Linux를 실행하고 터미널에서 sudo guymager 명령어를 실행하시면 Guymager가 실행됩니다.

 

Guymager RAW(DD) 이미지 생성

 

실행되면 화면에 연결된 Linux device에 장치들이 목록으로 표시됩니다.

포렌식 이미지를 생성하고 싶은 장치를 선택하고 마우스 오른쪽 클릭 - Acquire image - RAW(DD) 메뉴를 차례로 선택하시면 됩니다.

 

VBoxGuestAdditions 다운로드 및 설치 방법

 

VBoxGuestAdditions

 

VBoxGuestAdditions Download

최신 버전의 VBoxGuestAdditions iso 이미지를 다운로드 받아서, 윈도 탐색기에서 해당 iso를 더블클릭하면 iso 파일이 드라이브로 마운트 됩니다.

마운트 된 드라이브에 들어가 윈도우용 추가 설치 프로그램을 설치합니다.

Virtual Box에서 USB 장치 연결을 못하는 경우 꼭 VBoxGuestAdditions를 추가로 설치해 주셔야 USB 연결이 가능합니다.

 

Guymager 포렌식 이미지 생성[RAW(DD)]

 

Guymager RAW(DD) 이미지 생성(2)

 

이미지로 만들 장치를 먼저 선택하여 Acquire Image 메뉴를 선택, RAW(DD) 이미지를 선택하면 생성할 이미지 파일의 경로 및 파일 이름을 지정하는 입력 부분만 활성화가 됩니다.

경로 및 파일 이름을 지정하고 다음을 눌러서 이미지를 생성합니다. 이미지 생성 시간은 시스템 성능에 따라 차이가 많이 납니다.

테스트로 디지털카메라의 SD 16GB 메모리를 포렌식 이미지로 만들어보았습니다. 시간은 약 1시간 넘게 걸린 것 같아요. 생각보다 좀 오래 걸리네요.

 

Guymager RAW(DD) 이미지 생성(3)

 

포렌식 이미지 생성 시 데이터 전송 속도가 약 3.04 MB/s 정도... 아무래도 제가 Virtual Box의 RAM 를 2GB만 할당해 줘서 많이 느린 것 같습니다.

노트북 메모리에 여유가 있다면 RAM 용량을 2GB 이상 할당해 주세요. 제 노트북은 4GB라 좀 성능이 떨어지네요.

 

Guymager RAW(DD) 이미지 생성(4)

 

이미지 생성이 완료되면 Status에 Finished 및 파란색 아이콘이 표시됩니다. 

Guymager 프로그램은 이렇게 포렌식 이미지를 생성하는 프로그램이다 보니 인터페이스가 매우 심플하고 직관적입니다.

 

포렌식 이미지 분석(Autopsy 활용)

 

포렌식 분석 도구 Autopsy (1)

 

생성한 이미지로부터 내용을 분석하기 위해서 Kali Linux에 기본 설치되어 있는 Autopsy를 root 권한으로 실행합니다.

실행하면 localhost에 Autopsy 서버가 실행되며 브라우저에서 해당 링크를 눌러서 접속하시면 Autopsy를 실행할 수 있습니다. (접속 링크는 프로그램 실행시 터미널에 표시가 됩니다. Ctrl을 누른 상태에서 그 링크를 클릭하시면 됩니다.)

 

포렌식 분석 도구 Autopsy (2)

 

New Case 메뉴를 이용하여 Case를 임의의 이름으로 생성하고 ADD IMAGE 메뉴로 생성해 둔 포렌식 이미지의 경로로 찾아가서 해당 이미지를 LOAD 하시면 됩니다.

이미지를 잘 불러왔다면 ANALYZE 버튼을 클릭하시면 자동으로 분석이 시작되며 종류별로 자동 분류가 됩니다.

 

포렌식 분석 도구 Autopsy (3) - All Deleted files

 

제가 생성한 포렌식 이미지는 디지털카메라의 SD 카드라서 저장된 자료는 JPG 이미지와 MOV 동영상 파일들뿐입니다.

Autopsy 프로그램에는 ALL DELETED FILES라는 메뉴가 있는데요, 해당 메뉴를 누르게 되면 삭제를 한 파일에 대해서도 확인할 수 있습니다.

삭제했던 이미지와 동영상 파일이 다 리스트로 나오게 됩니다.

 

포렌식 분석 도구 Autopsy (4) - All Deleted files

 

Active File Recovery를 이용한 RAW(DD) 이미지 파일에서 파일 복구

 

Active File Recovery 파일 복구(1)

 

Active File Recovery 프로그램은 포렌식 이미지(RAW DD) 이미지를 프로그램 내부에서 불러들여서 바로 복구도 가능합니다.

SuperScan을 통해서 이미지 및 동영상을 모두 복구해봤습니다.

 

Active File Recovery 파일 복구(2)

 

Autopsy에서 확인했던 이미지가 정상적으로 복구되었습니다.

혹시 디지털카메라나 저장 장치를 중고거래하는 경우 저장된 자료를 먼저 안전하게 지우셔야겠지요?
이처럼 어느 정도 복구가 가능하기 때문입니다.

 

Active File Recovery 파일 복구(3) - 복구된 이미지

 

안전한 (복구 불가능) 데이터 삭제 srm 명령어 사용 방법

 

복구 불가능한 삭제 방법 (srm 명령어 사용)

 

Windows 10 또는 Windows 11, WSL2, Kali Linux에 srm 이나 shred 명령어를 사용하여 안전하게 삭제할 수 있습니다.
srm 설치 명령어는 sudo apt-get install srm 으로 설치할 수 있으며 shred는 kali Linux에 기본으로 설치되어 있습니다.

srm(secure remove) 명령어로 먼저 Camera_SD 폴더를 모두 삭제해 보았습니다.
srm 명령어는 최소 28번 이상을 랜덤 데이터로 변경하고 삭제하기 때문에 많은 파일을 한 번에 삭제하게 되면 AhnLab Safe Transaction에서 Ransom/MDP.Edit M1947로 탐지되어 작업이 중단될 수 있습니다.

 

srm 명령어 사용시 Ransom/MDP.Edit.M1947로 진단됨(False Positive)

 

shred 명령어를 사용하여 삭제하는 것이 더 적절할 것 같습니다. shred와 srm 명령어는 SSD가 아닌 일반 HDD 장치에 적합한 명령어 입니다.

 

srm 명령어 사용시 Ransom/MDP.Edit.M1947로 진단됨(False Positive)

 

srm(secure remove)으로 삭제 시 dllhost.exe 파일이 Ahn Safe Transaction에서 "행동 기반 탐지"에 걸리게 되는데, process explorer로 해당 process를 virus total에 점검해 보면 아무런 문제가 없음을 알 수 있습니다.

wsl2, Kali 나 Ubuntu에서 srm 명령어로 다수의 파일을 삭제하는 경우, False positive로 프로세스가 중단될 수 있으니 놀라지 마세요.