모두의 dream

부팅(bootable) USB를 이용한 저장매체 이미징 본문

분야/Digital Forensics

부팅(bootable) USB를 이용한 저장매체 이미징

오리꽥이로 2024. 8. 23. 09:33
Contents 접기

WinFE (Windows Forensic Environment)

부팅 USB를 이용하여 별도의 OS로 컴퓨터를 실행시킨 후 장착되어 있는 저장매체를 대상으로 이미징을 진행할 수 있다.

 

사용하는 프로그램은 WinFE(Windows Forensic Environment) 프로그램이다. WinFE는 경량 운영체제 WinPE(Windows Preinstallation Environment)를 기반으로 동작하는 운영체제로 디지털 포렌식에 초점을 맞추고 있기 때문에 쓰기 방지 등을 지원한다.

 

설치 과정은 공식 매뉴얼을 그대로 따라하면 된다.

1. WinFE 다운로드 & 압축해제


WinFE의 바탕화면을 변경하고 싶다면 wallpaper.jpg 라는 이름으로 "\x86", "\x64" 폴더에 복사하면 된다.

2. Windows 10 ADK 버전 1803 설치

ADK 버전 1803

최신 버전을 사용했더니 WinFE를 부팅 usb로 만드는 과정에서 오류가 발생했다.

3. FTK Imager 설치

FTK Imager(혹은 사용하고자 하는 툴)를 설치한 후 설치된 폴더 전체를 복사하여 버전에 맞게 "USB\x86-x64\tools\x86", "USB\x86-x64\tools\x64" 폴더에 복사해준다.

설치된 FTK Imager를 "USB\x86-x64\tools\x64" 폴더로 복사한 모습

4. MakeWinFEx64-x86.bat 실행

MakeWinFEx64-x86.bat 을 실행해준다. (iso 파일을 원한다면 Makex64-x86-CD.bat을 실행해준다.)

MakeWinFEx64-x86.bat 실행

5. USB 포맷 및 부팅 usb 전환

아래 과정을 통해 USB를 FAT32 형식으로 포맷해준다.

DISKPART> 
Type: List Disk <Enter> 
Type: Select Disk X (X는 내 USB의 드라이브명) <Enter> 
Type: Clean <Enter> 
Type: Create Partition Primary <Enter> 
Type: Format FS=FAT32 Quick <Enter> 
Type: Active <Enter> 
Type: Assign <Enter> 
Type: Exit <Enter>

 

그리고 " USB\x86-x64\" 경로에 있는 모든 파일들을 USB로 옮겨준다.

USB에 담긴 "USB\x86-x64\ " 경로 파일

그리고 아래 명령어를 입력해주면 부팅 USB 제작이 완료된다.

bootsect.exe /nt60 <USB flash drive letter>: /force /mbr

 

Makex64-x86-CD.bat 명령을 통해 생성한 iso 파일을 이용해서 부팅디스크를 만들어줘도 된다.

 

실제 컴퓨터에 꽂을 땐 usb를 사용하면 편하지만, vmware에서 테스트할땐 iso파일을 CD/DVD에 추가하는 방식으로 부트모드를 통해 WinFE를 실행시킬 수 있다.

VMware CD 지정

WinFE 부팅

성공적으로 WinFE 부팅에 성공하면 아래 화면이 출력된다.

WinFE 초기화면

 

이미징이 필요한 저장매체는 Read Only, WinFE가 돌아가고 있으며 사용할 도구가 저장되어 있는 USB는 Mount, 이미징한 파일을 저장할 새로운 저장매체는 Mount, Read/Write 옵션을 줌으로써 활용할 수 있다.

WinFE 옵션

 

다음은 FTK Imager를 실행시킨 후 이미징 대상 PC의 저장매체를 불러온 사진이다.

FTK Imager 실행

WinFE 를 이용한 저장매체 이미징

실습을 위해 외장 ssd를 연결하여 이미징 실습을 진행했다.

 

위에서 언급했던 것 처럼 이미징이 필요한 저장매체는 Read Only, WinFE가 돌아가고 있으며 사용할 도구가 저장되어 있는 USB는 Mount(현재 실습에선 CD(iso)파일을 사용중이므로 별도의 mount는 필요 없었다.), 이미징한 파일을 저장할 새로운 저장매체는 Mount, Read/Write 옵션을 줬다.

 

외장 ssd를 저장위치로 설정하고, dd 파일 형태로 이미징을 진행한다.

FTK Imager를 이용한 이미징

 

이미징 후 호스트 PC에서 SSD를 열어보면 파일을 확인할 수 있다.

이미징 결과

Reference

https://www.winfe.net/build

https://www.youtube.com/watch?v=G45my7uQwTM

'분야 > Digital Forensics' 카테고리의 다른 글

VeraCrypt 사용과 분석  (2) 2024.09.23
Block Mapping & Extent Tree (Ext Filesytem)  (0) 2024.05.31
이미지 파일을 가상머신으로 부팅하는 방법  (12) 2024.05.20
FAT32 삭제된 파일 복구  (0) 2024.03.11
FAT32 File System  (1) 2024.03.04
'분야/Digital Forensics' Related Articles more
Comments