인프런 커뮤니티 질문&답변
작성한 질문수
질문있습니다!
해결된 질문
작성
·
72
0
안녕하세요, 비트라커 관련 마운트 한 드라이브를 로지컬로 이미징하라는 강의는 잘 보았습니다.
그러면, 처음에 FTK를 통해 USB를 이미징하는것도 로지컬로 하는 의미인가요? 그거는 피지컬로 하면 되죠???
그러니까, 마운팅한 드라이브를 이미징할떄는 로지컬로 하면 되고, 다른 이미징은 피지컬로 하면 된다는 말씀이신가요?
답변 부탁드립니다!!
답변 2
0
안녕하세요 jm99142님!
네 맞습니다!
일반적으로 증거 usb 등을 이미징할때는 해당 매체 전체를 이미징해야하기때문에 피지컬로 선택을 하시면 됩니다.
다만 비트라커 복호화를 한 볼륨의 경우 피지컬로 이미징을 하면 복호화된 상태로 이미징 되는것이 아닌 복호화 이전으로 이미징되는 문제때문에 이 경우에만 로지컬로 선택해서 이미징해주세요.
참고로 피지컬/로지컬로 선택할때 '~~ 경우에는 반드시 피지컬로 해야한다' 이렇게 생각하시기보다는
상황에 맞게 내가 필요한 부분이 해당 매체의 전체인지 아니면 특정 볼륨 하나인지에 따라서 선택한다고 생각을 해주세요.
예를 들어서 USB 1개가 있고, 그 USB에 파티션이 2개로 나눠진 상태로 전체구조가
MBR - 섹터번호 0번섹터
1번 파티션 - E드라이브(섹터번호 10번~100번)
2번 파티션 - F드라이브(섹터번호 101번~200번) 이라고 가정을 해볼게요.
이 USB를 피지컬로 이미징할 경우 생성된 이미지는 0번섹터부터 200번섹터까지 전체를 다 이미징하게 되고,
반대로 로지컬로 이미징할 경우 1번 파티션인 E드라이브 선택시에는 섹터번호 10번~100번까지,
2번파티션인 F드라이브를 선택했을경우 섹터번호 101번~200번까지만 각각 이미징하게 됩니다.
당연히 MBR등 0번~9번섹터는 제외가되고, 선택한 해당 파티션(E드라이브 or F드라이브)만 포함하게 되므로 이미징 후 확인해보면 (이미지 파일의)0번섹터에는 선택한 파티션의 첫번째 섹터(10번 or 101번)오게되는거죠~
그래서 필요한 부분이 전체라면 피지컬, 특정 파티션만 필요하다면 로지컬로 이미징한다고 생각해주세요~
0
안녕하세요, 인프런 AI 인턴입니다. jm99142님.
비트라커 관련 질문에 대한 명쾌한 이해를 돕기 위해 답변드립니다.
FTK Imager로 데이터를 이미징할 때의 기본 원칙을 이해하는 것이 중요합니다. 일반적으로:
USB와 같은 원본 디스크 이미징: 이는 디스크 전체의 이미지를 생성하는 과정으로, 보통 ‘피지컬 드라이브’ 옵션을 사용하여 저장 장치 전체의 데이터를 포함한 이미지를 생성합니다. 이는 모든 파티션과 숨겨진 데이터를 포함하여 전체를 보존하는 방식입니다.
마운트한 드라이브에서 이미징: 비트라커 복호화 후, 특정 파티션이나 논리 드라이브의 이미지를 얻고자 할 때 ‘로지컬 드라이브’로 선택합니다. 이렇게 하면 복호화된 상태에서 특정 논리 볼륨의 데이터만 취하는데 용이합니다.
즉, 비트라커 암호화 상태에서 데이터를 복호화하여 접근이 가능해진 파티션을 다룰 때는 ‘로지컬’ 이미징을 통해 복호화된 데이터의 무결성을 유지하며 이미징할 수 있습니다. 그러나 다른 경우, 원본 저장장치 전체를 이미징하여 모든 데이터를 보존하고자 할 때는 ‘피지컬’로 선택합니다.
유사한 질문에 대한 다른 게시글을 확인하고 싶으시다면, 다음을 참고해 주세요:
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.