VHD (.vhd / .vhdx) = 가상 하드디스크
- vhd 기본 확장자 (2TB 이하 인식가능)
- vhdx 2TB이상 인식 가능
☞ 증거 USB 또는 이미지 파일 내부에 확장자가
.vhd 혹은 .vhdx인 파일이 있는지 확인한다.
또는 확장자가 보이지 않을 때
용량이 비정상적으로 큰 파일을 체크
마운팅 된 볼륨 확인 후에 이미지 또는 파일을 추출하여 분석한다.
☞ 시그니처
- vhd header (시작 위치) - cxsparse [동적 디스크 일 때만 확인 가능]
footer (마지막 위치) - conectix
- vhdx header (시작 위치) - vhdxfile
실습 - VHD 파일 생성 및 연결
1. 디스크 관리 -> 동작 메뉴 -> VHD 만들기
2. 가상 하드 디스크 만들기 및 연결
3. 새로 작성된 디스크 우클릭 -> 디스크 초기화
4. MBR 선택 후 확인
5. 할당되지 않은 파티션 우클릭 -> 새 단순 볼륨
6. NTFS 파일 시스템으로 생성
7. 작성 완료 후 탐색기에 새로운 가상 하드디스크가 생성되었는지 확인
8. 테스트용으로 파일 여러개 생성
9. 디스크 관리에서 가상 하드 분리
10. 동작 메뉴 -> VHD 연결
11. 연결한 vhd 파일 선택
※ 포렌식을 진행할 경우 무결성 유지를 위해 읽기 전용으로 연결해야 합니다.
12. vhd 연결 확인
아까와 같은 가상 하드디스크가 연결되었고
읽기 전용으로 연결했기 때문에 파일의 수정은 불가능함을 확인할 수 있습니다.
13. HxD로 확인
- 고정 크기로 vhd를 생성했을 경우
=> 첫 섹터에 MBR 정보가 들어있음
- 동적 크기로 vhd를 생성했을 경우
=> 첫 섹터와 두번째 섹터에 특정 시그니처 코드가 들어있음
