4-1. 무료도구 활용 분석연습

디지털포렌식 관점에서 분석하는 방법은 매우 다양하게 있습니다. 다양한 분석 기법 중에서 기존에 출제된 유형을 한 번 살펴보도록 하겠습니다. 기본 분석기법을 이해 후에는 다양한 시나리오 문제(기출문제)를 해결하면서 연습을 하시면 시험 대비할 수 있을 것입니다.

1. 기본 분석 연습 소개

• 다양한 분석 유형이 포함된 가상디스크를 인식하고, 증거 사본 이미지 획득 및 파일시스템 복구를 진행한 뒤 시험에 주로 출제되는 분석 기법을 소개하도록 하겠습니다.

• EnCase로 시험 대비하실 분은 4-2. EnCase 활용 분석연습으로 이동하셔서 활용하시길 바랍니다.

4-2. EnCase 활용 분석연습

2. 필수 기초 분석 도구(무료도구)

• HxD와 같은 Hex 에디터의 경우 파일을 bit 단위로 읽고, 이를 4byte 를 16진수(Hex) 값으로 표현하고, 수정할 수 있는 도구로 파일시스템 복구, 시그니처 복구 등에 필요한 도구입니다. 기본적으로 포렌식 도구의 경우 수정 기능이 없기 때문에 사실상 필수 도구 입니다.

• Hex 에디터 (HxD) 실습 도구(HxD) : https://mh-nexus.de/downloads/HxDSetup.zip 도구 사이트 : https://mh-nexus.de/en/programs.php

• Hex 값 기본 설명 및 간단 활용법 > 1. BIT, BYTE, 파일 그리고 Hash

3. 분석 연습용 가상디스크 다운로드

• 연습용 가상디스크 다운로드 > http://naver.me/FIfca6o5

4. 주요 통합 포렌식 분석 도구 다운로드

• 보통 포렌식 도구는 유료가 많으나 시험장에서 제공하는 무료 종합 포렌식 분석 도구인 Autopsy 를 이용하여 분석을 진행해보도록 하겠습니다.

Autopsy - DownloadAutopsy

5. 연습용 가상디스크 인식

1. 파일 다운로드 후 압축을 해제 한 뒤 우클릭 - 탑재 할 수 있습니다.

   

   아래와 같이 나올 경우 정상입니다. 실제 시험에서도 이렇게 나온다고 해서 바로 포맷하면 시험은 그대로 불합격이 됩니다.

   
2. 또는 읽기전용으로 연결하고자 하는 경우 [Win + X] 를 누른 뒤 디스크 관리를 선택합니다.

   

   동작 - VHD 연결을 선택 후 해당 가상디스크를 선택합니다. (읽기전용이 필수는 아니나, 가능하면 가상디스크로 연습을 할 경우 읽기전용 연결을 추천합니다.)

   
3. 정상적으로 연결된다면 아래와 같이 표시 됩니다. 실제로 시험에서도 증거 USB를 받고, 분석을 위해 연결하였을 경우 아래와 같이 "포맷해야 합니다" 할 경우, 파일시스템이 훼손되어 있을 수 있습니다. 실제시험에서 일부로 훼손하였고, 이를 복구하고 분석하는 문제입니다.

   

4. 연습용 가상디스크에는 윈도우 아티팩트, 파일 분석을 위한 파일들이 저장되어 있습니다. 아티팩트 흔적의 경우 시간 정보나 기타 메타 데이터는 단순 연습용으로 시험에 필요한 부분만 추가 하였으니 연습용 이미지가 완벽하지 않더라도 이해 부탁드립니다!

분석 연습을 위한 가상디스크로 이후 파일시스템 복구 후에 각각 파일을 추출하여야만 사용할 수 있습니다.