How to create E01 image with Atola Taskforce
디지털포렌식 하드웨어 장비인 Atola Taskforce를 사용하여 하드디스크에 E01 이미지를 생성하는 방법에 대해 다뤄보겠습니다. (Disk to File)
실습에 사용될 하드웨어 장비입니다.
장비의 좌측을 보면 디스크를 연결할 수 있는 포트들이 있습니다. SAS 포트 6개, SATA 포트 6개가 있으며 각 포트 별로 우측의 빨간색 스위치를 통해 Source 혹은 Target 으로 변경을 할 수 있습니다.
SOURCE 초록색 전구?에 불이 들어오면 해당 포트가 Source로 사용되고 있다는 의미이며 불이 꺼져 있으면 Target으로 사용되고 있다는 의미입니다.
저는 위와 같이 SATA1번을 Source 로, SATA2번을 Target 으로 사용했습니다.
해당 장비는 Source에 디스크를 연결하게 되면 자동으로 쓰기 방지가 적용이 됩니다.
디스크를 장비에 연결한 후 위에서 본 모습입니다.
장비의 좌측 상단의 홈 버튼을 누르면 위와 같은 화면이 나옵니다. 이전에 작업했던 로그들을 보여주는 것입니다.
화면의 좌측을 보면 메뉴 바가 있습니다. 메뉴 바를 통해 원하는 작업을 진행할 수 있습니다.
일반적인 이미징 장비와 달리 Atola Taskforce는 e01 포맷으로 이미지를 생성하기 전 수행해줘야 하는 작업이 있습니다.
타겟 디스크를 스토리지 장비로 변환하는 과정을 거쳐줘야 하는데 그 과정은 다음과 같습니다.
위 사진에서 보이는 우측 상단의 DEVICES 를 눌러줍니다.
Select Device 창이 열리면 하단의 FILE 탭에서 Select File 을 선택해줍니다.
Select image file 창이 열리면 ADD STORAGE 를 선택해줍니다.
그러면 Select device 창이 열리는데, Target 디스크를 선택해줍니다.
다시 select image file 창으로 돌아오는데 여기서 Target으로 지정한 디스크의 파티션을 exFAT으로 포맷해줘야 합니다.
위와 같이 타겟 디스크를 포맷하는 과정을 거치게 됩니다.
NTFS 파일시스템을 지원해주는게 큰 문제는 아닐텐데 왜 해당 기능이 없는지 의문이네요.
타겟 디스크 포맷이 완료되면 Home 화면에서 좌측 메뉴 바의 Image 를 선택합니다.
먼저 소스 디스크를 선택해줘야 합니다. 저는 SATA1번이 소스 디스크였기 때문에 SATA1번을 선택했습니다.
소스 디스크를 선택했으면 다음은 타겟 디스크를 선택해줘야 합니다.
앞서 생성한 스토리지 디스크를 선택하기 위해서는 FILE 탭의 Select File을 선택하면 됩니다.
앞서 생성한 스토리지 디스크가 목록에 보이는 것을 알 수 있습니다.
해당 디스크를 선택한 후 우측 하단의 CREATE FILE 을 선택해줍니다.
생성할 이미지 파일에 대한 정보를 입력해줍니다.
Target 디스크가 잡힌 것을 확인할 수 있습니다.
생성할 해시값 등 추가 정보를 입력한 뒤 START를 눌러줍니다!
쨘! 이미징이 시작되었습니다!
'DFIR > 기타 개념' 카테고리의 다른 글
| 프로그램 실행 관련 아티팩트 모음 (0) | 2022.06.08 |
|---|---|
| VMware Drag and Drop File 경로 (0) | 2022.05.27 |
| Falcon NEO 디스크 이미징 수행 과정 (0) | 2022.01.10 |
| 디지털 포렌식 맛보기#2 (0) | 2021.07.06 |
| 디지털 포렌식 맛보기#1 (0) | 2021.06.27 |