저장매체 이미징 ( dd )
저장매체 복제
아예 비트스트림을 똑같이 복제해서 똑같은 내용의 하드를 하나 더 만드는 것.
비할당 영역이나 슬랙도 모두 복제되지만, 그냥 같은 내용의 하드가 하나 더 생기는거라 분석하려면 어차피 이미징해야 편하다.
저장매체 이미징
모든 물리적인 섹터를 파일 형태로 만들어 저장하는 것. 비할당 영역이나 슬랙 공간도 모두 저장되기 때문에 이를 사용해야 한다.
vmdk를 hdx에 올려서 보는 것도 이미징 파일을 보는 것과 비슷하다고 볼 수 있다.
윈도우에서는 FTK Imager / dd
리눅스에서는 dd를 사용할 수 있다.
```bash
# dd if=/dev/sdb2 of=./sdb2.iso
```
'Security > Forensic' 카테고리의 다른 글
JPEG와 EXIF의 GPS data (위도, 경도) (0) | 2018.07.07 |
---|---|
클러스터, 섹터, 슬랙 ( Cluster, Sector, Slack ) (0) | 2017.11.01 |
파일 카빙 ( File Carving ) (0) | 2017.11.01 |
Volatility (0) | 2017.10.27 |
Prefetch, Superfetch (0) | 2016.09.07 |