인프런 커뮤니티 질문&답변
작성한 질문수
e01 파일을 raw(dd)파일로 이미징?
해결된 질문
작성
·
22
0
안녕하세요!
여태까지는 원본이있으면 원본을 대상으로 e01 이미징한다 > 복구해야할 경우 dd파일로 재이미징.
이렇게 생각하고 있었는데요.
exfat 추가강의영상을 듣고나니 용량문제로 e01으로 뜬 이미지파일을 올렸으니 이걸 raw파일로 이미징해서 사용하라고 말씀하신걸 봤습니다.
생각해보니 시험장에서도 요즘은 이미징된 형태로 이미지 사본을 준다는 걸 강의에서 들은것같아서, 궁금한것이
1) 시험장에서 제공되는 파일은 (이미징파일을 줄경우) e01을 주는게맞나요?
2) e01으로 열어봤는데 파티션이 손상되었을경우 ftk imager에서 creat disk image 후 원본 매체 image 선택 - 제공받은 e01 선택 - 이걸 dd포맷으로 다시 재이미징하는게 맞나요?
3)이해한게맞다면, 어떻게 원본이아닌 e01으로 압축된 이미지를 dd(raw)포맷으로 재이미징?변경될수있는것인지 궁금합니다..
답변 2
0
안녕하세요 정선아님!
질문 순서대로 답변 드릴게요~
1) 시험장에서 제공되는 이미지의 포맷
- 증거원본 USB를 제공하는게 아니라면, e01으로 제공될 확률이 매우매우매우매우매우 높습니다.
- 제가 매우를 반복적으로 말씀드린이유는 e01으로 제공하는 가장 큰 이유는 용량문제때문입니다.
- 이미지를 '용의자 A의 노트북을 수사관이 이미징하여 수사관의 USB에 저장하였다' 형태로
USB에 담아서 제공을 하게 될텐데, raw 이미지로 이미징을 하면 원본(노트북이든 USB든)
의 용량이 그대로 다 필요하고, 그렇게 하기 위해서 대용량의 USB나 외장하드급으로 제공이 되야할
텐데 e01으로 이미징을 하게 되면 용량이 대폭 줄어서 USB에 담아 제공할수 있을 정도가 되기때문
입니다.
- 그렇기때문에 e01으로 압축해서 줄 가능성이 사실상 100%라고 생각하시면 됩니다.
만약 raw파일로 제공한다고 해도 오히려 파티션 복구 등의 문제시에 우리가 다시 이미징할 필요가
없어지기때문에 오히려 편리하긴 하겠죠
2) e01 파일을 확인시 파티션이 훼손됐을경우 재이미징
- 네 맞습니다. e01은 압축된 형태로 저장된 상황이라서 파티션 복구등을 위해서 MBR, BR 등을
찾아가야하는 절차를 정상적으로 처리하지 못합니다. 그렇기때문에 Raw(dd)로 이미징을 다시 한번
해줘야 MBR, BR등이 우리 눈에 확인이 되기때문에 이미징을 한 번 더 하는 과정이 필요합니다.
3) e01 파일을 raw로 다시 이미징할 수 있는 이유
- e01 파일을 원본으로 잡고 raw로 이미징을 하면 mbr과 br 등이 보이는, 최초의 상태(이미징 전의 원본 USB상태)로 돌아가게 되죠?
이부분을 아주 간단히 설명드리면, e01으로 이미징이 됐지만 raw 상태에서의 정보를 담은 곳이 있어서 가능하다 이렇게만 생각해주세요.
우리가 일상적으로 윈도우즈에서 워드작업, 엑셀작업 등을 할때 되돌릴경우 Ctrl+Z를 누르면 바로 전단계로 돌아가게 되죠? 바로 전 단계의 상황이 어딘가에 기록이 되고 있다는 의미인데 그런것처럼 e01으로 생성된 이미지도 raw상태로 돌아갈수 있을만한 정보가 어딘가에 담겨져있기때문에 가능하다라고 생각해주시면 좋을것 같습니다~
어쨌든 우리에게 중요한것은 e01 파일이여도, e01파일을 원본으로 잡고 raw로 이미징 하면 최초의 상태(raw)로 돌아갈수 있다! 이것만 기억을 해주세요!
0
안녕하세요, 인프런 AI 인턴입니다. 정선아님!
질문 주신 사항에 대해 차례로 답변을 드리겠습니다.
시험장에서 제공되는 파일 포맷:
시험장에서 제공되는 이미지 파일은 상황에 따라 다를 수 있으며, 강의에서 언급된 대로 e01 파일 형식으로 제공될 수 있습니다. 이는 용량 문제나 파일 관리의 용이성을 위해 일반적으로 사용됩니다.e01 이미지를 raw(dd)로 재이미징하는 방법:
e01 파일을 열어봐서 파티션이 손상되었다면, FTK Imager에서 “Create Disk Image” 기능을 활용하여 제공받은 e01 이미지를 원본 매체로 선택하고, dd 포맷으로 다시 이미징할 수 있습니다. 이 과정을 통해 손상된 파티션을 복구하여 분석할 수 있는 형태로 전환합니다.e01을 dd(raw)로 재이미징하는 이유 및 방법:
e01은 원본의 이미지를 효율적으로 보관하기 위해 압축된 포맷입니다. dd 포맷은 압축이 없는 원본 그대로의 데이터를 제공하므로, 일부 분석 작업에서는 dd 포맷이 필요할 수 있습니다. FTK Imager 등을 사용하여 e01 포맷을 dd 포맷으로 변환(재이미징)함으로써, 분석에 필요한 비압축 상태의 이미지를 얻을 수 있습니다. 이는 특히 파티션 복구 등 특정 작업에 유리합니다.
dd, e01 이미지 관련에서 유사한 질문에 대한 답변이 있으니, 참고하시면 도움이 될 것 같습니다. 이 게시글에서는 dd나 e01으로 이미지를 생성할 때의 차이점과 그 활용에 대해 자세히 다루고 있습니다.
혹시 더 궁금하신 점이 있으시면 추가 질문해주세요.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
빠른 답변 너무너무 감사드립니다 ㅜㅜ
벼락치기중이라 매일매일 새롭게깨닫는것들이 많네요..! 하하하핫.. bb