미디어 포착 툴(Guymager)
■ Package Description
- 쉬운 사용자 인터페이스
- 멀티 스레드, 파이프 라인 설계 및 멀티 스레드 데이터 압축으로 인해 매우 빠름
- 다중 프로세서 시스템
- 플랫 (dd), EWF (E01) 및 AFF 이미지 생성, 디스크 복제 지원
- 요금 무료, 오픈 소스
하드디스크는 삭제를 해도 파일이 남아있다. 파일을 삭제한다는 것은 완전히 삭제 하는게 아니라,
그 파일을 하드 디스크에서 더이상 보호하지 않는다는 의미이지, 보호하기 전에 이미 다른 정보에
의해 덧씌였다면 그때 본격적으로 파일이 삭제되는 것이다.
아직 삭제가 되지 않은 상태라면, 그땐 바로 그 파일을 복구시켜서 증거를 잡고
guymager를 이용해 하드 볼륨을 복제한 후, 복제된 볼륨을 DFF로 조사를 하는 방식을 사용한다.
DFF는 Dynamic File Format Resource Database 와 관련된 3D 파일이다.
참조 사이트
http://guymager.sourceforge.net/
http://learnherecorner.blogspot.kr/2015/06/kali-linux-tool-guymager-capturing.html
[EX] 사용 예제
# guymager |
[실습]
@Kali Linux
guymager 실행 (Go to Applications -> Kali Linux -> Forensics -> Forensic Imaging Tools -> guymager)
# guymager &
VMware 선택 후 이미지 생성
모델장치 마우스 우 클릭 -> Acquire image 클릭
디스크 복제 작업 실시
case number evidence number 입력 후 Destinations 이미지 디렉토리 경로 설정 ->
이미지 파일이름 설정 -> 확인
해당 디렉토리 이미지 파일(.aff) 확인
# cd /bin ; ls -ltr
....... lrwxrwxrwx 1 root root 20 12월 1 16:18 systemd -> /lib/systemd/systemd lrwxrwxrwx 1 root root 21 12월 1 16:18 zsh -> /etc/alternatives/zsh lrwxrwxrwx 1 root root 8 12월 1 16:18 ypdomainname -> hostname -rw-r--r-- 1 root root 2146424538 1월 11 17:49 3GB.E01 -rw-r--r-- 1 root root 782711234 1월 11 17:50 3GB.E02 -rw-r--r-- 1 root root 6370 1월 11 17:50 3GB.info |
'Learning > └Kali Linux' 카테고리의 다른 글
| [Forensics Tools] p0f (0) | 2017.01.11 |
|---|---|
| [Forensics Tools] iPhone Backup Analyzer (0) | 2017.01.11 |
| [Forensics Tools] Galleta (0) | 2017.01.11 |
| [Forensics Tools] Foremost (0) | 2017.01.11 |
