파일시스템 분석 실습 준비 (VMware 생성 & 이미징)

VMware 생성

VMware 머신을 생성할때는 평범하게 생성해주면 되지만 목적에 따라 옵션을 다르게 줄 만한 내용이 있다.

 

VMware 머신 생성 중 Disk Type 결정 창

 

만약 NTFS, Ext4 파일 시스템에서 삭제된 파일 복구하기 실습을 하는데 방해를 덜 받고 싶다면 SATA 형태로 지정해서 머신을 생성하는 것도 하나의 방법이 될 수 있다.

이미징 진행

Vmware, Hyper-V 와 같은 가상머신에 설치한 운영체제를 대상으로 이미징을 진행할 때는 다음과 같이 진행하면 된다.

 

1. FTK Imager 를 설치한다.

2. 상단 File 탭에서 Create Disk Image를 선택한다.

3. 이미징을 진행하고자 하는 머신의 설치 경로를 파악한다.

4. FTK Imager에서 VM 설치 경로의 하드디스크 역할을 하는 파일 (ex. vmdk, vhdx) 파일을 열어준다.

5. 해당 파일을 열었으면 Add... 버튼을 선택한 후 원하는 옵션을 선택한다.

6. 마지막 창에서 이미징 파일 저장경로, 파일명, Image Fragment Size 옵션(분할 크기, 분할하지 않을거면 0 입력)을 조정한다.

7. Finish를 누르면 이미징이 진행된다.

 

만약 vmware에서 snapshot이 찍혀있는 경우 내가 이미징을 진행하고자 하는 시점의 Snapshot vmdk 파일을 대상으로 진행해주면 된다.