인프런 커뮤니티 질문&답변

설이로이님의 프로필 이미지
설이로이

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

BitLocker 이미지 마운팅 오류

해결된 질문

작성

·

55

·

수정됨

0

BitLocker 실습 도중 FTK Imager에서 'Add Drive Failed' 오류 발생 하였고,

탐색기 확인 결과 FAT32로 G드라이브 생성되었습니다. (안에 내용은 없음)

*E01, 001 파일 모두 동일

image.png

 

image.png

 

그리고 저는 말씀하신 HxD에서 193,854 뒤 내용이 없습니다.

image.png

 

 

 

답변 2

0

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 설이로이님!

말씀하신 마운팅 오류 문제는 예전부터 얘기가 계속 나오던 부분입니다.

FTK Imager에서 마운팅을 했을때 'Add Rive Failed'가 나오는 경우는
원인이 확실히 밝혀지지 않았고, 또한 정확한 해결방법도 나오지 않은 상태입니다.

아마도 프로그램과 윈도우즈간 충돌이 있는것으로 추정만 될뿐입니다.
(이부분에 대해서 제작사에 문의를 해봤지만 꽤 오래됐는데 예상대로 답변이 아예 없네요;)

우선 이런 경우 FTK Imager가 아닌 다른 마운트 프로그램을 이용해서 할수는 있지만,
시험장에서 그런 프로그램을 지원하지 않기 때문에 마운트 프로그램을 이용해서 연습을 하는게 큰 의미는 없습니다.

다만 비트라커 복호화와 복호화 후 이미징 하는 연습을 위해서 다른 프로그램을 이용해서 마운팅을 해보시고, 정상적으로 마운팅이 되면 강의에서 안내해드린대로 이어서 진행 해보시겠어요 ?

 

마운트 프로그램은 Arsenal Image Mounter이며 해당 프로그램은 아래 주소에서 다운로드 할 수 있습니다.

https://arsenalrecon.com/downloads

image.png

 

image.png

다운로드를 받으시면 위와 같은 zip 파일을 받을수 있고, 받으신다음에 압축을 풀어보면

 

image.png

ArsenalImageMounter.exe 파일을 실행하시면 됩니다(별도의 설치 필요없습니다)

 

image.png

실행해보면 아마도 .NET Runtime 설치 안내가 뜨는데 설치해주시고요~

 

image.png

.NET 설치가 완료되면 다시 프로그램을 실행해보시면 위와 같이 라이센스 관련 내용이 나오는데 'OK'해서 넘어가주시고요.

 

image.png

위의 화면에서 '예'를 클릭해주세요

 

image.png

프로그램을 시작할 준비가 되면 하단의 메뉴중 'Mount disk image'를 클릭해서
마운트할 이미지 파일을 불러와주세요

 

image.png

이미지를 선택하면 옵션을 선택해야하는데 위의 화면처럼 초기값으로 바로 불러오시면 됩니다.

 

이렇게 하면 이미지가 마운트되어서 탐색기에서 확인이 가능하며,
비트라커 복구키를 이용해서 복호화 하는 부분부터 강의에서 말씀드린 순서로 진행을 해주세요~

image.png

 

0

안녕하세요, 설이로이님. 인프런 AI 인턴입니다.

BitLocker 이미지를 FTK Imager에서 마운트할 때 ‘Add Drive Failed’ 오류 메시지가 나오는 경우는 흔히 환경 설정이나 프로그램의 호환성 문제일 수 있습니다. 이와 관련하여 비슷한 상황에 대한 해결 방법을 소개하겠습니다.

  1. FTK Imager 마운트 오류 관련:

    • FTK Imager의 마운트 방식에서 ‘Block Device / Read Only’과 ‘File System / Read Only’ 옵션을 잘 확인해야 합니다. 만약 현재 설정이 ‘File System / Read Only’라면, ‘Block Device / Read Only’로 변경하여 시도해 보세요.
    • 비슷한 오류와 관련된 질문이 이전에 있었습니다: Bitlocker 강의자료 관련 질문. 이 질문에서는 FTK Imager와 비트라커 설정에서의 일반적인 문제와 그 해결책을 다루고 있습니다.
  2. HxD에서의 데이터 확인:

    • HxD와 같은 헥스 에디터에서 비트라커 이미지의 섹터 범위를 확인할 때, 이미지의 최종 섹터와 그 값을 정확히 일치시켜야 합니다. 193,854 이후 데이터가 보이지 않는 점은 정상 상황일 수 있습니다만, 파일이 손상되었거나 다운로드 중 문제가 있을 수도 있으므로, 다른 파일로도 테스트해보는 것을 권장합니다.
  3. 추가적인 해결 방법:

    • 언제나 파일 복사본을 사용하여 테스트를 수행하는 것이 좋습니다. 원본 파일을 보존하면서, 복사본으로 여러 가지 설정을 테스트해 볼 수 있습니다.
    • 프로그램의 최신 버전을 사용하고 있는지 확인하고, 경우에 따라 다른 포렌식 툴을 사용해 보는 것도 도움이 될 수 있습니다.

위의 사항을 확인한 후에도 동일한 문제가 지속된다면, 다른 포렌식 소프트웨어(예: EnCase, OSFMount 등)를 사용하여 마운트를 시도하거나, 강의에서 제공되는 관련 자료와 최신 업데이트를 확인해 보세요.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

설이로이님의 프로필 이미지
설이로이

작성한 질문수

질문하기