[Digital Forensic] Disk & File Information Analysis

Disk Information

증거 분석 할 디스크의 정보는 파일시스템과 파일을 상세 분석 할 때 핵심적인 정보가 된다. 이러한 이유로 디스크 정보를 확인할 줄 알아야 하며, 확인할 수 있는 정보로는 디스크 크기, 디스크 섹터 수, 디스크 클러스터 수, 섹터 크기, 디스크 해시 값(무결성), 파티션 시작 섹터, 파티션 총 섹터, 볼륨 이름, 볼륨 시리얼 넘버 등의 정보가 있다. 또한, 증거 분석 할 디스크가 USB일 경우 USB 이미징 이후에 USB 제조사, 모델명도 확인 가능하다.

 

테스트를 위해 300MB 크기의 디스크를 MBR로 초기화하고, 150MB 크기의 NTFS 파티션과 150MB 크기의 FAT32 파티션으로 생성하였다.

Disk Structure

 

1. 디스크 정보

디스크 정보는 FTK Imager와 Autopsy로 확인할 수 있다.

 

FTK Imager - 이미징 후 txt 파일: 섹터 크기, 디스크 섹터 수, 디스크 크기, 해시 값 (MD5, SHA-1) 정보

디스크 섹터 수와 섹터 크기를 이용해 디스크의 Byte 크기를 계산할 수 있다.

디스크 크기(317,718,528 Byte) = 디스크 섹터 수(620,544) x 섹터 크기(512 Byte)

 

Autopsy - Data Source: 디스크 크기(Byte), 해시 값 (MD5, SHA-1, SHA-256), 섹터 크기, 장치 ID 정보

 

FTK Imager - Evidence Tree, Properties: 섹터 크기, 디스크 섹터 수, 이미징 타입 정보

 

 

 

2. 파티션 정보

파티션 정보는 FTK Imager로 확인할 수 있다.

 

FTK Imager - Evidence Tree, Properties: 파티션 시작 섹터, 파티션 섹터 수 정보

아래는 각각 Partition 1, Partition 2의 정보를 확인해 본모습이다.

Partition 1

Partition 2

 

 

 

3. 파일 시스템 정보

파일 시스템 정보는 FTK Imager로 확인할 수 있다.

 

FTK Imager - Evidence Tree, Properties: 클러스터 크기, 파일 시스템 클러스터 수, 파일 시스템 비할당 클러스터 수, 볼륨 이름, 볼륨 시리얼 넘버, 파일 시스템 버전 정보

아래는 각각 Partition 1, Partition 2의 정보를 확인해 본모습이다.

클러스터 당 섹터 수(8): 클러스터 크기(4,096 Byte) / 섹터 크기(512 Byte) (Partition 1의 경우)

 

 

 

File Information

파일 정보는 증거 분석 시, 증거의 핵심적인 정보가 된다. 이러한 파일 정보를 확인할 줄 알아야 하며, 확인할 수 있는 정보는 파일이 크기, MAC Time, 해시 값, 데이터가 정장된 시작 섹터, 파일 내용 등의 정보가 있다.

 

파일의 다양한 정보는 FTK Imager와 Autopsy로 확인할 수 있다.

Autopsy - Data Source의 Export Selected Rows to CSV: File Name, File MAC Time, File Logical Size (Byte), File 저장 경로, 해시 값 (MD5, SHA-256), MIME Type, 확장자 정보

File Metadata Export

 

 

 

Autopsy - Data Source의 Preview: File Hex, File Text, File Application, File Metadata 정보

 

아래는 직접 'test.txt(내용: Info)', 'logo.png(내용: 블로그 로고)' 파일을 저장하여 테스트한 결과이다.

 

첫 번째 이미지 (File Hex): 파일의 헥사 값을 보여준다. 이 값으로 파일의 헤더 시그니처를 간략하게 분석할 수 있다. (예시: '. PNG')

두 번째 이미지 (File Text): 텍스트 파일의 경우 내부 파일의 내용이 표시된다. (예시: 'Info')

세 번째 이미지 (File Application): 이미지 파일일 경우 해당 항목이 활성화되며, 파일의 이미지가 표시된다. (예시: 블로그 로고)

네 번째 이미지 (File Metadata): 파일의 메타 데이터 정보가 표시된다. 이전 방법인 'Export Selected Rows to CSV'로 추출이 가능하다.

Hex View

Text View

Image View

Metadata View

 

 

 

FTK Imager - Evidence Tree, Properties: File Logical Size, File Name, File Preview, Start Sector, 파일 시스템 별 추가 정보

 

Autopsy는 파일 자체의 정보에 초점이 맞추어져 있었다면, FTK Imager는 디스크 구조와 관련된 파일 정보에 초점이 맞추어져 있다.

첫 번째 이미지는 NTFS에서의 파일 정보이다. MFT Record Number, Index Entry 정보를 추가적으로 제공해 준다. 

두 번째 이미지는 FAT32에서의 파일 정보이다. Short File Name 정보를 추가적으로 제공해준다. 

NTFS File Info

FAT32 File Info