dd를 활용한 디스크 이미지 덤프 및 분석환경 구성 (Linux 환경 테스트)

→ 덤프 파일을 저장할 USB 디스크를 인식 후, "fdisk -l" 명령을 입력한다.

→ 현재 이미지 덤프 목표 파티션은 "/dev/sda1"이며, 덤프 파일을 저장할 USB 디스크는 "/dev/sdc1" 이다. 먼저, "/dev/sdc1" 장치를 사용할 수 있도록 마운트 작업을 한다. 

→ /usb 라는 디렉토리를 생성한 후, "sudo mount /dev/sda1 /usb" 명령어를 입력한다. root 권한으로 /dev/sda1 파티션을 /usb 폴더로 마운트 하는 작업이다.

→ 파일시스템을 확인하는 명령어인 "df -h"를 입력하여, 마운트가 정상적으로 이루어진 것을 확인한다.

→ 마운트가 정상적으로 이루어졌으며, Linux 운영체제에서 USB 디스크를 사용할 수 있다.

→ 아래와 같은 명령어를 입력하여 dd 덤프를 진행한다. 

"sudo dd if=/dev/sda1 of=/usb/sda1.img bs=512K"

→ if 옵션은 덤프 이미지의 대상 파티션이고, of 옵션은 덤프 파일을 저장할 공간이다. 그리고 bs 옵션은 블록 사이즈로 적당하게 512K를 주었다. 실제로 100GB 가량의 파티션 공간인 /dev/sda1 을 진행해보았다.

→ 커맨더가 대기중이며, 덤프 이미징 작업이 종료되면 커맨더 프롬프트가 떨어진다. 이 때, 덤프가 진행되고 있는지, 멈추었는지 확인하려면 "iostat -d 1 10" 명령어를 입력하면 디스크 별 I/O 상황을 모니터 할 수 있다.

(이미지에선, sdc 디바이스가 sdb로 변경되었음)

→ 덤프 작업이 완료되면, 아래와 같은 메시지를 확인할 수 있다.

→ 해당 USB 디스크에 있는 이미지 덤프파일을 윈도우 분석 PC로 옮긴다.

→ 윈도우 분석 PC에서 autopsy 프로그램을 실행하고, [New Case] 버튼을 클릭한다.

→ 케이스 이름과, 저장 디렉토리를 설정한 후, [Next]를 클릭한다.

→ 해당 케이스에 해당하는 내용을 기입한 후, [Finish]를 클릭한다.

→ 케이스가 생성 완료되고, 아래와 같은 메뉴에서 [Disk Image or VM File]를 선택한 후 [Next]를 클릭한다.

→ 옮긴 이미지 파일을 선택한 후, [Next]를 클릭한다.

→ [Next]를 클릭하고 [Finish]하면, 케이스 생성이 완료된다.

→ 이미지를 불러오기 시작하면, 오른쪽 하단에 아래와 같은 분석률을 확인할 수 있다. 

→ 분석 완료된 케이스를 불러오면 분석 진행이 가능하다.