3-1) 파일 관련 분석 1
Last updated
Last updated
파일 분석을 위해선 포렌식 종합 분석 도구를 활용하여 분석을 하게 됩니다. 먼저 Autopsy 다운로드 및 설치하여 분석 준비를 합니다. > :
케이스를 생성하여 봅시다. New Case 선택 후 케이스 명, 저장할 경로를 설정합니다.
복구한 파일시스템 이미지를 불어와 봅시다. 프로세스 부분은 모두 해제합니다.
Generate new host name based on data source name
Disk Image or VM File
파일시스템 복구한 이미지 선택
Configure Ingest (프로세싱) 에서 전체 선택 해제(Deselect All) - 프로세싱은 필요할 때 사용하면서 언제 무엇을 위해 사용하는지 알아봅시다.
아래와 같이 파일시스템 내부 구조가 확인이 되면 분석 준비가 된 것입니다.
삭제된 파일의 경우 복구가 가능한 경우 FTK Imager, Autopsy 에서 이미 복구가 되어 표시하여 줍니다. 따라서 분석도구에서 따로 무엇인가를 할 필요는 없습니다. 다만, 추후에 답안작성 또는 보고서 작성 시, 주요 증거파일이 삭제된 파일이었다는 내용을 활용하는 것으로 충분합니다.
아래 그림과 같이 파일이 삭제될 경우 파일 아이콘이 X 표시가 되며, 삭제된 파일의 내용이 복구되어 보일 수도 있고, 다른 파일들의 내용이 덮어 써져있을 수도 있습니다. (이는 분석을 해봐야 아는 것입니다.)
따라서, 실제 시험에서는 삭제된 파일이라고 크게 신경 쓸 필요 없이 분석 하되 만약 시험 문제에서 주요 증거 파일에 대해서 설명할 때, 삭제된 파일이었을 경우 해당 파일은 삭제되었으나, 복구되어 내용 확인이 가능하다는 부분을 포함해야 합니다. (기출 문제 중 주요 증거파일이 삭제되어 있었으나, 포렌식 도구에서는 정상 복구된 경우가 있습니다.)
시험에서 가장 많이 나오는 유형으로 실제 확장자를 고의로 변경하여, 해당 파일의 내용을 알기 어렵게 만드는 유형입니다.
전 자료를 먼저 실습 한 뒤 진행하시는 것을 추천합니다. > 2) 파일과 친해지기
먼저 Autopsy 에서 이러한 분석을 도와줄 전처리 프로세싱을 진행해보도록 합시다. Tools -> Run Ingest Modules -> 이미지 선택 후 아래 옵션을 선택 합니다. - Extension Mismatch Detector - File Type Identification
분석이 실행되면 우측 하단에 진행 상황이 나타납니다. 실제 시험에서는 용량 및 파일 수가 많을 수 있기 때문에 충분한 시간이 필요할 수 있습니다.
먼저 정상 파일을 한번 살펴보겠습니다. Vol3 의 "1. 파일 확장자 변경 - 정상" 폴더에 있는 "정상워드.docx" 파일을 선택 후 Hex 값을 살펴보면 "50 4B 03 04" (PK~~)로 시작 합니다.
"1. 파일 확장자 변경" 폴더에 있는 여러 파일들이 있는데, 확장자가 모두 다른 것을 알 수 있습니다. 그러나 모두 hex 보면 시그니처가 동일합니다.
한번 추출을 해서 실행해보도록 하겠습니다. Ctrl 또는 Shift를 누른 상태로 여러 파일 선택 후 우클릭 - Extract File(s)를 선택하여 파일을 추출할 수 있습니다.
아래 파일들 중 exe, pdf의 경우 실행하면 정상적으로 내용 확인이 불가능 합니다. 이유는 실제 exe, pdf 파일이라면 다른 시그니처를 가져야 하나 워드 파일의 시그니처를 가진 파일의 확장자를 고의로 변경하였기 때문입니다.
exe, pdf 파일의 확장자를 docx (워드) 변경 후 파일을 열게 되면 정상적으로 파일이 열리고 내용 확인이 가능합니다. 즉, 원래 docx 파일을 exe, pdf 로 변경한 경우입니다.
다만 특이사항으로, zip 압축파일 형태인 것을 살펴보겠습니다. 실제로 압축해제를 하면 정상적으로 압축해제가 되고, 열어보면 특정 폴더와 내용이 확인됩니다.
이유는 word, pptx, xlsx (오피스)파일의 경우 시그니처가 PK~~로 실제 압축파일 형태와 동일한 시그니처를 가집니다. 한번 비교 테스트 해보겠습니다. 파일들 아무거나 선택 후 압축을 해보도록 합시다.
압축파일을 Hex로 열어보면 정상 워드 파일의 시그니처와 동일한 것을 알 수 있습니다.
즉, 압축파일과 오피스 시그니처가 동일한 것을 알 수 있습니다. 오피스 파일을 압축파일 확장자로 변경할 경우 또는 그 반대 일 경우 포렌식 도구에서는 전처리 후 확장자와 시그니처가 다른 것을 구분 못하는 경우가 있습니다.(Encase) 이를 이유로 시험에서도 자주 출제되고 있는 형태입니다.
이제 이러한 파일은 Autopsy 에서는 Analysis Results 에서 확인할 수 있습니다.
많은 포렌식 도구들은 확장자와 상관 없이 시그니처 기반으로 해석 가능한 부분은 최대한 해석 해서 보여주며, Autopsy에서는 확장자랑 상관없이 분석 가능한 파일에 대해서 text를 추출해서 보여주기도 합니다.
다만 실제 실기 시험이나 사람들이 오래 사용한 윈도우가 설치된 PC 등을 분석하게 될 경우 이렇게 시그니처와, 확장자가 맞지 않는 파일이 매우 많을 수 있습니다. 따라서 단순히 프로세싱 결과 부분만 살펴보면 되는 것이 아니라 실제 대부분의 폴더를 살펴보면서 고의로 확장자를 변경하였을 것으로 보이는 파일들을 찾는 것을 시도해봐야 합니다.
먼저 예를들어 JPG(그림파일)의 시그니처를 훼손하면 그림판 또는 이미지 뷰어 프로그램이 JPG 파일을 정상적으로 열지 못하게 됩니다. * 시그니처(파일의 가장 처음에 저장된 일정한 영역 값)
대부분의 파일은 특정 구조를 가지고 있고, 가장 처음에 동일한 파일 구조에 따라 특정한 값이 고정적으로 저장되고 있습니다. 만약 이를 훼손한다면 해당 파일을 보여주는 프로그램 등 해당 파일 내용을 해석해주지 못해서 내용 확인을 하기 어렵습니다.
포렌식 도구는 대부분 확장자와 특정 파일의 첫 부분인 시그니처를 저장하고 있으며, 확장자와, 시그니처가 다를 경우 표시를 해주어 분석에 도움을 줍니다
먼저 정상 파일을 한번 살펴보겠습니다. 정상 파일의 경우 내용도 확인이 가능하고, 시그니처도 정상입니다.
반면 훼손 파일들을 살펴보면 시그니처가 훼손되어 있는 것을 알 수 있습니다. 이 경우, 포렌식 도구도 내용을 보여주지 못하고 있네요!
한번 이 파일들을 추출한 뒤 정상 시그니처로 변경해보도록 하겠습니다. 먼저JGP의 정상 시그니처인 FF D8을 입력하겠습니다.
당연하게도 정상적으로 확인이 가능합니다.
그렇다면 PNG, PDF, docx도 동일하게 시그니처를 정상 시그니처로 변경해보도록 하겠습니다. 그런데, 항상 파일별로 시그니처를 외우고 다녀야 할까요? 그럴 필요 없이 동일한 확장자의 파일을 생성 후 hex를 이용하여 확인해서 사용하시면 됩니다. 그림판으로 png 파일을 생성해보도록 하겠습니다.
해당 파일을 hex 로 확인 후 시그니처가 훼손된 파일에 정상 시그니처 값을 참고하여 입력합니다.
만약 시험에서 동일한 확장자를 가진 정상 파일이 이미 있다면 해당 파일을 참고해서 시그니처 값으로 참고하여도 됩니다.
이제 시험에서 나올만한 유형을 한번 직접 만들어 봅시다. 먼저 시그니처 복구하지 않은 워드 파일을 압축해보도록 하겠습니다.
마지막으로 아래와 같이 확장자를 docx로 변경하여 봅시다. 정리하면, 이 docx는 실제로는 압축파일이며, 압축파일 내에는 시그니처가 훼손된 docx가 있습니다.
여러분들은 해보실 필요는 없으나 참고로 포렌식 도구에서 이러한 파일을 분석을 통해서 찾기가 어렵습니다. 당연하게도 docx의 시그니처는 압축파일과 동일하기 때문에 시그니처 분석에서도 표시가 되지 않을 것이기 때문입니다. [ Autopsy] - 정상과 동일한 MIME Type 표시, Extension Mismatch Detected 에서도 발견되지 안될 수 있음]
[EnCase - Match / docx 로 표시] - Signature Analysis 에서도 정상으로 표시, File Type도 워드 문서로 표시
실제로 시험에서는 우리는 이런식으로 숨겨진 파일이 한눈에 파악이 안된 상태로 분석을 하게 됩니다. 만약 파일들을 살펴보다가 아래와 같이 문서 파일인데 압축파일 구조가 있을 경우에는 추출해서 압축 해제를 해봐야하는 것입니다. 압축 해제 후 파일이 정상적으로 열리지 않는다면, hex로 시그니처 훼손이 되었거나, 혹은 확장자가 바뀌었는지도 살펴봐야겠지요!
