파일시스템 분석 실습 준비 (vmdk & 이미징)

VMware

디지털 포렌식을 공부하다 보면 vmware 로 이미지 파일을 만든 후 실습을 진행해야 하는 경우가 발생한다.

vmdk 파일을 주로 사용하는데, vmdk 파일에는 자체적인 헤더가 존재하므로 이 헤더를 제거해줘야 원활한 실습이 가능하다. 

 

vmdk 헤더

vmdk 파일의 0x40 주소를 보면 값이 있다.

00 ~ 07 까지가 우리가 필요한 값으로, 리틀엔디안 방식으로 값을 가져와 주면 된다.

0x4080 이 vmware에 설치한 윈도우의 MBR 위치다.

 

그대로 사용하면 안되고 512byte를 섹터의 크기로 했을 때 0x4080 (16,512) 섹터에 있다는 뜻으로 16,512 섹터로 이동해주거나 16,512에 512를 곱한 값인 0x810000 주소로 이동하면 된다.

 

vmware에 설치된 윈도우의 MBR은 위와 같다.

 

근데 vmware 이미지와 실제 이미징을 뜬 파일에 차이가 있다.

그래서 그냥 vmware에서 ftkimager로 이미징 뜬 다음 로컬 컴퓨터로 가져왔다.

 

혹은 vmdk 파일 자체를 ftkimager로 이미징 뜨면 된다.

 

https://ethan-ncs.tistory.com/37

 

윈도우 이미징

하드디스크 추가는 그냥 vmware에서 추가한 후 아래 메뉴를 통해 디스크 관리 창에 들어가서 파티션을 할당해주면 된다.

vmware 하드디스크 추가

파티션 분할

C 드라이브 파티션 나눈 후 (파일시스템 상에 있는 파티션 정보도 확인해 보기 위함) FTK Imager를 이용해서 이미징 진행.

 

파티션 분할 중 발생할 수 있는 문제:

pagefile.sys 삭제(비활성화) 하면 됨.

제어판 -> 시스템 -> 고급 시스템 설정 -> 고급 -> 성능 설정 -> 고급 -> 가상메모리 변경 -> 최상단 "모든 드라이브에 대한 ~" 체크 풀고 "페이징파일 없음" 클릭 -> 설정 -> 적용 및 다시시작

 

리눅스(Ubuntu) 이미징

vmware 하드디스크 추가

하드디스크는 vmware 에서 추가한다. 

 

C드라이브, D드라이브처럼 리눅스에도 sda1, sda2 로 구분하며, 한 개의 하드디스크는 sda, sdb, sdc 방식으로 구분한다.

하드디스크 마운트는 아래 링크 참고.

https://losskatsu.github.io/os-kernel/add-harddisk/#5-uuid-%ED%99%95%EC%9D%B8

https://devkingdom.tistory.com/177

 

이미징

https://scent2d.tistory.com/65

 

명령어: sudo dd if=/dev/sda of=/mnt/sda.dd bs=512K