사고 대응 도구 : Linux 용 FTK
NB : 소스와 목적지를 교환하지 말아야합니다. 그렇지 않으면 증거를 손상시킬 것입니다.
요약:
FTK (Forensic Toolkit)는 AccessData에서 만든 컴퓨터 법의학 소프트웨어입니다. IT 전문가가 사고 대응 계획의 일부로 디지털 증거를 복구, 복사 및 보존 할 수 있습니다. Linux 용 FTK의 무료 버전은 법의학 분야의 초보자에게 충분합니다. FTK는 하드 드라이브를 스캔하고 다양한 형식으로 사본을 만들고 다른 파일 시스템을 구문 분석 할 수 있습니다. 또한 이메일 스캔, 텍스트 문자열 검색 및 수동 데이터 조각과 같은 기능도 있습니다. FTK의 유료 버전은 FTK에서 사용할 수있는 모든 법의학 도구에 대한 그래픽 사용자 인터페이스를 제공합니다. 그러나 Linux 전문가는 무료 버전의 FTK 또는 오픈 소스 도구를 사용하여 유사한 결과를 얻을 수 있습니다.
1. Kali Linux의 FTK 이미저 설치 :
FTK Imager는 Kali Linux에 기초하지 않으므로 별도로 설치해야합니다. 설치하려면 인터넷에 연결하고 AccessData 웹 사이트에서 FTK Imager를 다운로드하십시오. 터미널을 사용하여 다운로드 된 TAR 파일을 추출하십시오.
2. Linux와의 FTK 호환성 :
All Forensics Tools를 포함한 FTK의 정식 버전은 Linux와 함께 작동하지만 유료 라이센스가 필요합니다. Linux 용 FTK의 무료 버전은 기본 법의학 작업에 충분합니다.
삼. Linux에서 FTK 이미저 사용 :
. .
4. Windows에서 FTK 이미저 얻기 :
Windows에서 FTK Imager를 얻으려면 AccessData 웹 사이트를 방문하여 Windows에 적합한 버전을 다운로드하십시오. 설치 프로세스는 운영 체제에 따라 다를 수 있습니다.
5. FTK와 FTK 이미지의 차이점 :
FTK는 포괄적 인 컴퓨터 법의학 소프트웨어이며, FTK Imager는 이미징 및 하드 드라이브 복사에 중점을 둔 FTK의 구성 요소입니다. .
6. Mac의 FTK 이미저 :
FTK Imager는 Mac에서 사용할 수 있으며 내장 “D”명령과 EWFTools 또는 DC3DD와 같은 다른 도구를 설치하는 옵션을 모두 지원합니다.
7. Linux 용 FTK 이미저 다운로드 :
Linux 용 FTK Imager를 다운로드하려면 AccessData 웹 사이트를 방문하여 제공된 다운로드 링크를 따르십시오. 다운로드 된 파일은 다운로드 폴더에 저장됩니다.
8. Kali Linux의 DD :
Kali Linux에는 디지털 법의학에 대한 “DD”명령이 있습니다. 특정 장치 경로에서 다양한 작업에 사용할 수 있습니다.
9. FTK 이미지의 가용성 :
FTK Imager는 무료로 제공되며 법의학 이미지를 생성하고 디스크 이미지에서 세그먼트 된 파일의 재구성을 가능하게합니다.
10. 법의학 생식을위한 FTK 이미저 사용 :
FTK 이미저는 원래의 증거가 변경 될 때 대체 법의학 증거를 만드는 데 사용될 수 있습니다. 파일 슬랙, 할당되지 않은 공간을 복제하고 여유 공간을 운전할 수 있습니다.
질문:
1. Kali Linux에 FTK 이미저를 설치할 수 있습니다?
예, FTK 이미저는 AccessData 웹 사이트에서 다운로드하고 다운로드 된 TAR 파일을 추출하여 Kali Linux에 설치할 수 있습니다.
2. FTK는 Linux와 함께 작동합니다?
FTK의 정식 버전은 Linux와 함께 작동하지만 유료 라이센스가 필요합니다. Linux 용 FTK의 무료 버전도 사용할 수 있으며 기본 법의학 작업에 충분합니다.
삼. ?
Linux에서 FTK Imager를 다운로드하려면 AccessData 웹 사이트를 방문하여 제공된 다운로드 링크를 따르십시오. 다운로드 된 파일은 다운로드 폴더에 저장됩니다.
. ?
Windows에서 FTK Imager를 얻으려면 AccessData 웹 사이트를 방문하여 Windows에 적합한 버전을 다운로드하십시오. 설치 프로세스는 운영 체제에 따라 다를 수 있습니다.
5. ?
FTK는 포괄적 인 컴퓨터 법의학 소프트웨어이며, FTK Imager는 이미징 및 하드 드라이브 복사에 중점을 둔 FTK의 구성 요소입니다. .
6. MAC에 사용할 수있는 FTK 이미저입니다?
.
7. Linux 용 FTK 이미저를 어디에서 다운로드 할 수 있습니까??
FTK 이미저는 AccessData 웹 사이트에서 Linux 용으로 다운로드 할 수 있습니다. 다운로드 된 파일은 일반적으로 다운로드 폴더에 저장됩니다.
8. Kali Linux에는 “DD”명령이 있습니까??
예, Kali Linux는 “DD”명령이 있으며 디지털 법의학 운영에 사용됩니다.
9. FTK 이미 저 무료입니다?
예, FTK 이미저는 무료로 제공됩니다. 그것은 법의학 이미지를 생성하고 디스크 이미지에서 세그먼트 된 파일의 재구성을 허용합니다.
10. FTK 이미저를 언제 사용해야합니다?
대안적인 법의학 증거를 만들거나 변경된 증거를 재현 할 필요가있을 때 FTK 이미저를 사용해야합니다. 파일 슬랙, 할당되지 않은 공간을 복제하고 여유 공간을 운전할 수 있습니다.
11. FTK에서 사용할 수있는 데이터베이스?
FTK는 분산 처리 엔진 (DPE)을 사용할 수 있으며 AWS RDS (Amazon Web Services의 관계형 데이터베이스 서비스)와 함께 FTK를 사용하기 전에 분산 처리를 설치하는 것이 좋습니다.
12. FTK는 무엇에 사용됩니까??
FTK는 하드 드라이브에서 다양한 유형의 데이터를 수집하는 데 사용되는 컴퓨터 법의학 소프트웨어입니다. 이메일을 가로 채고, 삭제 된 이메일 검색 및 특정 텍스트 문자열의 스캔 디스크에 사용될 수 있습니다.
13. Linux에서 FTK 이미저가 Encase 이미 저보다 선호되는 이유?
FTK 이미저는 작은 RAM 발자국, 이미지를 마운트하는 기능, 대부분의 파일 미리보기, EFS 암호화 감지 및 더 많은 이미지 형식 지원과 같은 요소로 인해 Linux의 Encase 이미 저보다 선호됩니다.
14. Linux 전문가는 오픈 소스 도구로 유사한 결과를 얻을 수 있습니다?
예, Linux 전문가는 FTK의 무료 버전 또는 Linux에서 사용할 수있는 기타 오픈 소스 법의학 도구를 사용하여 유사한 결과를 얻을 수 있습니다.
15. Linux 용 FTK의 무료 버전이 법의학 초보자에게 충분한 이유?
Linux 용 FTK의 무료 버전은 하드 드라이브 스캔, 복사 및 다양한 파일 시스템을 구문 분석하는 것과 같은 필수 기능을 제공합니다. 유료 버전없이 초보자가 법의학을 시작할 수 있습니다.
사고 대응 도구 : Linux 용 FTK
NB : 소스와 목적지를 교환하지 말아야합니다. 그렇지 않으면 증거를 손상시킬 것입니다.
Kali Linux에서 FTK 이미저를 사용하는 방법?
FTK 이미저 플러그인이 ISN입니다’t Kali 원래, 우리는 그것을 설치해야합니다. .
FTK는 Linux와 함께 작동합니다?
FTK의 정식 버전을 사용하면 FTK와 관련된 모든 법의학 도구가 하나의 그래픽 사용자 인터페이스로 포장되어 분석에 대한 데이터를 저장합니다. 법의학에서 Linux 보안 전문가와 함께 일할 수있는 기능은 FTK 또는 Encase의 유료 버전을 사용해야합니다.
Linux에서 FTK 이미저를 사용할 수 있습니까??
다음 단계는 Linux 용 FTK 이미저를 다운로드하는 것입니다 (http : // AccessData. Linux 용 FTK 이미저는이 사이트에서 다운로드 할 수 있습니다. com/product-download), for “FTK의 명령 줄 버전의 명령 줄 버전”. FTK 다운로드는 기본적으로 다운로드 섹션에 자동으로 상주합니다. 타르는 터미널에서 추출해야합니다.
Windows에서 FTK 이미 저를 얻으려면 어떻게해야합니까??
FTK와 FTK 이미저의 차이점은 무엇입니까??
FTK 이미저는 무기한으로 사용할 수 있지만 라이센스 만으로만 사용할 수 있습니다. 다른 이미지 편집 도구와 달리 FTK는 매우 제한된 기간 동안 만 작동합니다. 액세스 데이터는 또한 데모 버전도 판매합니다.
FTK 이미저가 Mac에서 작동합니까??
대조적으로, FTK Imager는 Mac 버전을 가진 라이브 시스템을위한 것입니다. 예, Mac 버전에는 내장 D 명령이 포함되어 있지만 항상 DD 명령이 있거나 Ewftools 또는 DC3DD를 설치할 수 있습니다.
Linux의 FTK 이미저입니다?
Linux For First (http : // AccessData 용 FTK 이미저를 다운로드해야합니다.UKK.com). 그런 다음 http : // www를 입력하십시오..com/product-download 및 클릭을 클릭하십시오 “명령 줄 버전”. 다운로드 된 FTK는 기본적으로 다운로드 폴더에 배치됩니다.
칼리는 DD를 가지고 있습니까??
Kali Linux에서는 fof $/dev/sda2 c/sdb2에 의해 실행되는 경우 indd가 있습니다.
FTK 이미 저 무료입니다?
FTK 이미지를 사용하면 하나의 파일에 이미지가 포함되거나 조직화 된 세그먼트 모음이 나중에 디스크 이미지에서 재구성 될 수 있습니다.
FTK 이미저를 언제 사용해야합니까??
법의학 증거의 원래 조각이 변경되면 법의학 재생을 위해 FTK 이미저에 대한 대안을 만들 수 있습니다. 법의학 이미지의 일부로 파일 슬랙 및 할당되지 않은 공간은 완전히 동일하며 여유 공간을 구동하는 것도 있습니다.
FTK에서 사용할 수있는 데이터베이스?
DPE (Distributed Processing Engine)는 FTK에 의해 지원됩니다. 설치 안내서에 이어 Amazon Web Services를 사용하기 전에 분산 처리를 설치하는 것이 좋습니다’ 관계형 데이터베이스 서비스 (AWS RDS).
?
제품 RCE 툴킷 또는 FTK는 AccessData에서 만든 컴퓨터 법의학 소프트웨어입니다. 이 프로세스를 통해 하드 드라이브에서 다양한 데이터가 수집됩니다. 비밀번호 사전을 통해 이메일을 가로 채려면 삭제 된 이메일 검색에 데이터를 사용하고 텍스트 문자열 디스크 스캔을 암호 사전으로 사용할 수 있습니다.
사고 대응 도구 : Linux 용 FTK
사고 대응은 IT 보안 팀 및 계획의 필수 구성 요소입니다. 사고 대응 계획 내에서 법의학은 디지털 증거를 복구, 복사 및 보존하는 데 중요한 역할을해야합니다. 이 블로그 게시물은 Linux 용 FTK의 무료 버전이 법의학 경력을 시작하려는 IT 전문가에게 충분한 이유를 설명합니다.
Linux의 무료 FTK는 무엇을합니까??
FTK는 하드 드라이브를 스캔하고 하드 드라이브 사본을 만들고 원시 형식을 포함한 여러 형식으로 저장할 수. FTK에는 여러 파일 시스템을 구문 분석하고 이메일, 텍스트 문자열 및 기타 정보를 스캔 할 수 있습니다. 툴킷을 사용하면 데이터 위반 내에서 중요한 증거를 식별하기 위해 처리, 인덱싱, 검색 및 필터링을위한 빠르고 정확한 분석을 실행할 수 있습니다. 또한 FTK로 수동 데이터 조각을 수행 할 수있는 기능이 있습니다. TestDisk와 같은 유사한 도구로는 불가능합니다.
전반적으로 FTK 소프트웨어 툴킷은 사고 대응 및 법의학 전문가가 여러 장치 유형, 네트워크 데이터, 하드 드라이브 및 인터넷 스토리지에서 대규모 데이터 세트에서 작업 할 수 있습니다. FTK 그룹의 유료 버전은 FTK와 함께 사용할 수있는 모든 법의학 도구를 하나의 친숙한 GUI 인터페이스로 함께 제공합니다. 그러나 자신을 유능한 Linux 보안 전문가라고 부르면’ftk 또는 법의학 작업에 대한 유료 버전이 필요합니다.
Linux의 Imager보다 FTK 이미저가 더 나은 이유?
Brett Muir는 훌륭한 블로그 게시물을 썼습니다 “Imager vs. FTK 이미지“, 그는 몇 가지 이유로 여전히 FTK 이미 저를 Encase 위로 돌릴 것이라고 결론을 내립니다. 그의 결론에는 FTK Imager가 RAM에 더 작은 발자국을 가지고 있고, 이미지를 장착하고, 대부분의 파일을 미리보기, EFS 암호화 감지 및 더 많은 이미지 형식을 지원한다는 사실이 포함됩니다. 그의 분석은 위에서 언급 한 성능 장점으로 인해 Encase를 통해 FTK 이미저를 사용하는 추가 지원을 제공합니다.
블로거 Josh Lowery’S 의견, 제목의 블로그 게시물에서 “Linux 명령 줄에 FTK 이미저 Lite 설치“, Muir와 동의합니다’S 뷰도 있습니다. NYC에 기반을 둔 컴퓨터 법의학 분석가는 FTK가 “가볍고 빠르며 효율적인 수단의 용의자 드라이브에서 이미지를 추출하는 수단.”
Linux 시스템에는 대부분의 법의학 도구를 무료로 설치할 수 있습니다. 예, GUI 친화적 인 올 인 클루 시브 FTK 유료 GUI 또는 Encase Imager Suite를 선택할 수 있지만 Linux 시스템을 사용하여 오픈 소스 도구를 사용하는 경우’ll 데이터 복사, 인덱싱, 검색 및 조각 능력에 대한 FTK 이미 저 (무료 다운로드)를 선택합니다. 그럼 당신’ll XXD 용 16 진 덤프, 디버깅 용 GDB, 다른 법의학 도구가있는 Sleuth 키트와 같은 무료 도구에 대해 알아보십시오.
FTK, Encase 및 기타 도구는 사고 응답 과정에서 해결됩니다.
소개
두목’t 스트레스! 목표를 달성하기 위해 오픈 소스 도구를 사용할 수 있습니다. ’Kali Live에서 실행되는 S FTK 이미저.
NB : Linux에 몇 가지 기본 사항이 있다고 가정했습니다.
1. 칼리 라이브가 있습니다 ‘법의학 모드’ – 그 이점 :
* Kali Live는 비파괴 적입니다. 디스크를 변경하지 않습니다.
* ‘법의학 모드’ 드라이브의 자동 장착을 분리합니다.
2. FTK 이미저는 사용하기 쉽습니다.
허락하다’바로 다이빙.
단계 0 : 디스크를 만듭니다
여기에서 Kali Live를 다운로드 할 수 있습니다. 다운로드 한 후에는 Rufus를 사용하여 부팅 할 Kali 라이브 디스크를 만들 수 있습니다. 아래에 표시된 설정을 적용하십시오
* 장치 : 라이브 디스크를 만드는 데 사용할 드라이브입니다. (플래시 드라이브를 사용하는 것이 좋습니다.))
.
* 파티션 체계 : MBR 또는 GPT.
나머지 옵션을 그대로 남길 수 있습니다.
클릭 후 ‘시작’ 이 창의 맨 아래에서 ISO (다음 창에서) 선택하십시오 DD. 고르는 ISO 바이러스 백신 소프트웨어가 Kali Linux에서 기본적으로 악의적 인 (그러나 유용한) 모듈의 일부를 감지하고 차단하여 디스크를 손상시킬 수 있습니다.
. 정상 형식 (FAT32 또는 NTFS)을 복원하려면이 기사를 참조하십시오.
이 단계는 일부 PC가 원하면 중요합니다’t 라이브 디스크에서 부팅 할 수 있습니다.
BIOS 메뉴는 장치마다 다릅니다. 예를 들어, 대부분의 HP PC에서 액세스하려면 컴퓨터를 켜 자마자 F10을 누릅니다. 대부분의 Lenovo PC의 경우 F2를 누릅니다. Google 검색에서 귀하에게 적합한 것을 확인할 수 있습니다.
이것들은 다음을 찾아야 할 설정입니다
1. 보안 부팅 : 비활성화하십시오.
2. UEFI/레거시 부츠 : 가능하면 두 옵션이 모두. 이것은 당신의 선호도에 따라 짜여져 있습니다. UEFI의 경우 MBR 파티션 체계를 사용하여 디스크에서 부팅 할 수 있도록 CSM 지원이 켜져 있는지 확인하십시오. 그렇지 않으면 디스크를 만드는 동안 MBR 대신 GPT (MBR 대신)를 사용하십시오. 레거시 부츠는 MBR 파티션 체계를 지원합니다.
설정을 변경 한 후 변경 및 종료를 저장하십시오. 이미징 프로세스를 완료 한 후 원래 설정을 복원해야합니다.
NB : BIOS 설정은 플래시 메모리에 저장되므로 변경된 BIOS 설정은 증거를 조작하지 않습니다.
2 단계 : 부팅
다음 단계는 디스크에서 부팅하는 것입니다. 그렇게하려면 부팅 메뉴에 액세스하는 데 사용되는 특정 기능 키를 확인해야합니다. 장치를 켜 자마자 기능 키를 눌러 부팅 메뉴에 액세스하십시오 (HP : F9, Lenovo : F12).
부팅 할 디스크를 선택한 후이 창이 표시됩니다. 클릭 ‘라이브 (법의학 모드)’:
부팅 프로세스가 완료되면 이제 데스크탑에 액세스 할 수 있습니다.
3 단계 : 이미징 프로세스
먼저 먼저 잊어 버리지 않도록 뿌리를 내립니다 수도 명령을 입력 할 때. 명령 : Sudo Su .
FTK Imager는 Kali Suite의 기본 도구가 아니므로 다운로드해야합니다. 시계 옆의 작업 표시 줄 아이콘을 클릭하여 PC를 인터넷에 연결하십시오 (Kali Live Desktop의 오른쪽 상단에). PC가 연결되어 있는지 확인하려면 터미널을 열고 (왼쪽 상단의 네 번째 아이콘을 클릭하여) 명령 Ping -C 5 Google을 실행하십시오.com . 다음과 같이 보이는 결과를 얻을 수 있어야합니다. 172의 답장.217.170.174 : 바이트 = 32 시간 = 12ms ttl = 57 .
. 명령 : wget https : // ad-zip.S3.Amazonaws.com/ftkimager.삼.1.1_ubuntu64.타르.GZ .
명령 tar -zxvf [compressed_file]를 사용하여 압축 파일의 내용을 추출하십시오 .
다음으로 대상 드라이브를 PC에 연결하십시오. 이곳에서 법의학 이미지를 저장하는 곳입니다. 칼리 라이브 데스크탑에서 터미널을 엽니 다 (왼쪽 상단의 네 번째 아이콘). fdisk -l 명령을 사용하여 사용 가능한 디스크 목록을 반환하십시오.
두 개의 디스크에 유의하는 것이 중요합니다 : PC 디스크와 연결된 외부 하드 드라이브. PC 디스크는 소스와 외부 디스크 역할을합니다. 필자의 경우 PC 디스크는 /dev /nvme0n1이고 외부 디스크 /dev /sda입니다 .
대상 드라이브는 그대로 사용할 수 없습니다. i.이자형., /dev/sda는 쓰기가 없습니다. 로컬 디렉토리에 마운트해야합니다. 먼저 mkdir 명령을 사용하여 디렉토리를 만듭니다 [directory_path], e.g., mkdir /mnt /destdrive . 그런 다음 디스크를 디렉토리에 장착하십시오’ . 제 경우에는 Mount /dev /sda1 /mnt /destdrive . 우리는 /dev /sda 대신 /dev /sda1을 사용했기 때문에’.
다음으로 FTK 이미저를 실행하여 PC 디스크를 이미지화합니다. 구문은 다음과 같습니다 ./ftkimager [source] [대상] [옵션] . 이미징에 사용할 수있는 몇 가지 옵션이 있습니다. 확인하려면 명령을 실행하십시오 ./ftkimager 매개 변수가없는. 예를 들어, Encase 이미지를 만들기 위해 ‘최상의’ 압축, 여기’s 명령 : ./ftkimager/dev/nvme0n1/mnt/destdrive/jdoepc -e01–compress 9 –compress “co-x-for-hdd-001”-evidence-number “hdd-001”-설명 “John Doe ‘s PC”–examiner “f. 로드리게즈 ” -보정 . 알다시피, 우리는 목적지에 디렉토리를 지정했습니다. –Case-Number, -evidence-number,-description 및 -examiner는보고 목적으로 지정 해야하는 메타 데이터입니다. –확인은 무결성 목적에 중요합니다. i.이자형., 디스크와 이미지 사이에 변화가 없다는.
NB : 소스와 목적지를 교환하지 말아야합니다. 그렇지 않으면 증거를 손상시킬 것입니다.
거기에 가서 이미지가 있습니다. 몇 단계 더, 당신’완전히 완료됩니다. 대상 드라이브를 안전하게 세우지 않아야합니다. . . BIOS 설정을 자신이있는 것으로 변경하는 것을 잊지 마십시오.
이미지가 손상되지 않은지 확인하려면 FTK Imager GUI (그래픽 사용자 인터페이스) 버전을 사용할 수 있습니다. FTK 이미저가 설치된 Windows PC에서 외부 하드 드라이브를 연결하고 이미지를 증거 항목으로 추가하십시오. 창의 왼쪽에있는 나무를 사용하여 이미지의 내용을 탐색하십시오. 오류가 발생하는 경우 ‘인식되지 않은 파일 시스템 [데이터]’ 데이터 파티션에서 다른 방법을 사용하여 프로세스를 반복해야 할 수도 있습니다. Hirens Boot CD를 사용하여 디스크 사본을 사용하는 것이 좋습니다.
결론
우리는 FTK 이미저와 Kali Live를 사용하여 디스크를 이미징하는 과정을 거쳤습니다. 목표는 증거의 완전성을 보존하는 것입니다.
Kali Live 대신 Parrot OS를 사용할 수도 있습니다.
이 기사를 즐겼기를 바랍니다!
