인프런 커뮤니티 질문&답변

이원길님의 프로필 이미지
이원길

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

Bitlocker 복호화 후 이미지 생성 시 Bad Sector 발생

작성

·

43

0

안녕하세요. 보충 강의 Bitlocker 수강 중 실습과정에서 문제가 생겨 질문 드립니다.

강사님이 영상에서 짚어주셨던 내용 그대로 진행하였음에도 불구하고 FTK Imager에서 이미지 생성 시 배드섹터가 발생해 내부 파일이 보이지 않는 문제가 있습니다.

 

실습 과정은 아래와 같습니다.

  1. 실습 이미지를 FTK Imager에서 오픈(Image File로 선택하여 오픈)

  2. 이미지 마운팅을 위해 [Evidence Tree]에서 해당 이미지 파일 우클릭 -> [Image Mounting]

  3. 마운팅 관련 옵션을 영상과 동일하게 설정한 뒤, 마운트 버튼 클릭


    (이때 영상과는 다른 오류가 발생하며 윈도우 경고 메세지 출력. 하단에 사진 첨부)

  4. 마운트된 파티션의 bitlocker 복호화 수행(복구키만 입력, bitlocker를 끄진 않음)

  5. 복호화가 완료된 파티션을 FTK Imager에서 [Logical Drive]로 선택하여 이미지 재생성

  6. Bad Sector로 인해 내부 파일이 보이지 않음

 

트러블 슈팅중 시도해본것들은 아래와 같습니다

  1. 모든 파일의 경로에서 한글을 제외

  2. 이미지 재생성 시 Physical Drive로 선택

  3. 관리자 권한으로 FTK Imager 실행

  4. 복호화가 완료된 파티션의 bitlocker 기능을 끄고 이미지 재생성

  5. 이미지 생성 시 DD파일, E01파일로 생성(둘다 동일하게 배드섹터 발생)

  6. 이미지 마운트 시 쓰기가능으로 설정하여 생성

위와 같은 시도에도 불구하고 모두 배드섹터 발생하였습니다.

아래는 실습 과정 3번에서 발생(이미지 마운팅 중)한 오류화면과 배드섹터 오류 로그입니다.

 

image.png.webpimage.png

 

뭐가 문제일까요 ㅜㅜ

 

답변 2

1

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 이원길님!

에러가 발생하는 정확한 상황이,

말씀해주신 실습과정중
[3. 마운팅 관련 옵션을 영상과 동일하게 설정한 뒤, 마운트 버튼 클릭] 상황에서
Mount 버튼을 클릭하면 첨부해주신 스샷 첫번째처럼 FTK Imager가 아니라
윈도우즈에서 '위치를 사용할 수 없습니다' 라고 에러가 뜬다는 말씀이시죠 ?

지금까지는 FTK Imager에서 이미지 마운팅시에 'Add drive failed' 라는 에러메시지가 나오는
경우만 있어서 말씀하신 경우는 저도 처음 보는 현상입니다.

같이 올려주신 오류 내용을 보면 198,656번 섹터에서부터 257,279번 섹터까지
00으로 채워졌다는 내용이 보이는데,
실습이미지(bitlocker.E01)의 총 섹터수는 193,855로 0번부터 193,854번까지 섹터가 있으며
마지막섹터는 193,854번 입니다.
그런데 198,656부터 257,279까지 섹터가 더 있다는 얘긴데 원인을 알수없는 이유로 문제가 생겼고 해당 섹터들이 0x 00으로 다시 채워졌다고 나오는걸 봤을때 뭔가 꼬이긴 꼬인것 같습니다.
(제가 처음 올려드린 bitlocker.E01파일을 HxD로 열어보면 193854번 섹터가 마지막섹터입니다)

아마 제가 처음 말씀드렸던 'Add drive failed'에러와는 다른 문제인것으로 보이는데,
원인은 확인 못하겠지만 이렇게 한 번 해보시겠어요 ?

1) 기존에 다운로드 받으신 자료는 삭제하시고 [보충강의 Bitlocker의 수업자료]를 다시 다운로드해서 동일한 문제가 발생하는지 확인해주세요
2) 동일한 문제가 생긴다면, HxD로 bitlocker.E01을 불러온 후 193,854번 섹터로 가셔서
해당 섹터의 첫번째줄 9바이트(offset:05EA7C00 / 0x 00 00 00 00 00 1A 04 E8 F8)까지만
남기시고 그 뒤로는 전부 삭제해주세요

이미지 4.jpg.webp

 


해결이 될지는 모르겠지만 한 번 해보시고 말씀 한번 부탁드리겠습니다.
(동일한 문제를 저도 확인할 수 있다면 여러 방법으로 시도해볼수 있을텐데 참 어렵네요 ㅜ_ㅜ)

nstyxn님의 프로필 이미지
nstyxn
지식공유자

아, 문제가 되는 파일을 저에게 이메일 한번 주실수 있으실까요?

nstyxn@gmail.com 입니다. 혹시 몰라서 한번 부탁드릴게요~

0

안녕하세요, 인프런 AI 인턴입니다.

Bitlocker 복호화 후 이미지 생성 과정에서 발생하는 배드섹터 문제는 여러 가지 요인에 의해 발생할 수 있습니다. 문제 해결에 도움될 수 있는 몇 가지 관련 질문과 해결 방법을 소개해 드리겠습니다.

  1. 한글 경로 문제: 한글 경로에 대한 문제는 파일 접근성에 영향을 미칠 수 있습니다. 모든 관련 파일과 경로에서 한글을 제거해 보신 것은 잘 하신 시도입니다.

  2. 이미지 파일 형식: FTK Imager가 제공하는 여러 이미징 옵션 중에서 형식(E01, DD)을 바꿔서 시도해 보셨다고 하셨는데, 일부 데이터 저장 구조에 따라 특정 형식이 더 유리할 수 있습니다.

  3. 읽기 전용/쓰기가능 설정: 복호화 후 마운트 시 ‘Block Device / Read Only’ 또는 ‘Writable’ 설정을 변경하며 테스트하는 것도 좋은 방법입니다. 보통 ‘Read Only’가 권장되지만, 경우에 따라 접근 권한에 오류가 있을 수 있습니다.

  4. Physical vs Logical Drive: 일반적으론 Logical Drive로 이미징하는 것이 복호화 상태의 이미지를 생성하는데 더 적합합니다. 그러나 일부 특정 환경에서 Physical 이미징이 도움이 될 수 있습니다.

  5. 부팅 관련 문제: BIOS 설정에서 가상화가 켜져 있는지를 확인하거나 드라이버 충돌 문제가 발생할 수 있는지 확인해 보세요. 특히 가상 환경에서 작업할 경우 의외의 충돌이 발생할 수 있습니다.

유사한 질문과 답변을 몇 가지 예로 들자면:

  • Bitlocker 강의자료 관련 질문: Bitlocker 이미지 마운트 및 복호화 과정에서의 문제를 다루고 있습니다. FTK Imager의 마운트 옵션에 대한 설명도 포함되어 있어 도움이 될 수 있습니다.

질문에 대한 답변이 만족스럽지 않으실 수 있으며, 복잡한 문제라면 추가 정보가 필요할 수도 있습니다. 각 상황에 맞는 정확한 해결책은 강의 지식 공유자로부터 받을 수 있습니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.

현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏

추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

이원길님의 프로필 이미지
이원길

작성한 질문수

질문하기