https://s3-us-west-2.amazonaws.com/secure.notion-static.com/81a257d0-d965-485d-a1db-9081deb48403/Untitled.png

가상디스크로 연습이미지 만들기

매체 정보 문제는 개인 USB 또는 개인 컴퓨터의 하드디스크로 분석도 가능하다. USB는 속도도 느리고 용량 설정도 다양하게 하기 어렵다. 윈도우의 가상디스크를 이용하여 원하는 크기, 용량,파일시스템을 설정하여 이미지를 추출한 뒤 분석 연습을해 볼 수 있다.

  1. 내 컴퓨터 [우클릭] – 관리 선택 한다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/dced1ba3-a1d6-485b-88f2-e216662de806/Untitled.png

  2. 컴퓨터 관리 – 저장소의 [디스크 관리] 선택 후 기타 작업 – [VHD 만들기] 선택

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1999cbdd-6b67-4285-a605-272a65db4659/Untitled.png

  3. 가상이미지를 저장할 경로, 크기, 고정크기 등을 설정한다. 보통 시험은 16GB 또는 32GB 크기의 USB를 제공할 것이다. 그러나 연습환경에서는 필요한 용량만 설정하여 활용하면 된다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/e8e9af70-2292-4446-a2f0-4c4da74c6dcd/Untitled.png

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/995c936d-d88e-47ce-9e4e-2c2de7a1acfe/Untitled.png

  4. 완료가 되면 디스크에 아직 포멧이 되지 않은 디스크가 할당된다. 이때, 디스크 선택 – 우클릭 – 디스크 초기화를 선택한다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/011ea69d-6ae4-4f44-ad07-45f7f62d6da9/Untitled.png

  5. 만약 위의 그림과 같이 민트색이 나오지 않거나 안되면 아래와 같이 기타 작업 – [VHD 연결]을 선택 하여 만들어진 가상이미지(경로)를 선택한다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/7b6cc5f1-5467-45a1-a705-a62010f73418/Untitled.png

  6. 디스크 초기화가 되면 아래와 같이 선택 하면 된다. 마약 GPT 파티션 테이블 분석 연습을 위해선 GPT로 선택하여도 된다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/3488fc91-f339-4769-a256-fd74e445cfb3/Untitled.png

  7. 초기화가 완료되면 아래와 같이 디스크의 검정 부분 선택 후 우클릭 - [새 단순 볼륨]을 통해 파티션 크기등을 설정할 수 있다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1b974ae0-afd7-4cb5-8024-ed5d2d1799ec/Untitled.png

  8. 파티션을 여러개 나누고 싶다면 용량을 최대 디스크 용량보다 작게 원하는 크기로 설정하면 된다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/671edfd9-af7f-45f1-9826-15a6b91b1ceb/Untitled.png

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/21dee0c6-3ba5-4397-9e86-bfd7fdc2d1f9/Untitled.png

  9. 또한 아래와 같이 파일시스템 종류, 할당 단위크기(클러스터크기), 레이블 등을 설정할 수 있다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/7e6f6325-2b07-4609-9a67-6d61fd1effc4/Untitled.png

  10. 완료가 된 후 추가로 파티션을 만들고 싶다면 아래와 같이 남은 영역에 [새 단순 볼륨]을 설정하면 된다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/76f2ac03-24ca-4c2e-ab66-47c55493f727/Untitled.png

  11. 아래와 같이 실제 USB 처럼 사용할 수 있다. 이 곳에 다양한 파일들을 넣거나 하여 문제 이미지 처럼 만들 수 있을 것이다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/edc63748-32cf-44e9-b634-be2da8271712/Untitled.png

  12. FTK Imager에서도 Add evidence에서 physical 을 선택하면 본인이 설정한 용량에 해당하는 것을 선택하면 내용 확인도 가능하고 Raw, E01등의 이미지로 추출할 수 있다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/67a2e3bf-5d8e-49d1-b1aa-aeade690a433/Untitled.png

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/50909b70-41f7-4d1e-87e5-9c14e151f52a/Untitled.png

  13. EnCase에서도 Add Local Device를 통해 실제 USB를 연결한것과 동일하게 이미지 획득 및 분석 또한 가능하다.

    https://s3-us-west-2.amazonaws.com/secure.notion-static.com/9efd72ba-37fa-4dfa-9185-6d2a79c46594/Untitled.png