7) bitlocker
Last updated
Last updated
사실 시험대비에 있어서 bitlocker를 굳이 직접 설정할 필요는 없긴 합니다. 다만 한번 정도 해보고 나면 bitlocker가 어떤 의미인지 한번 확인해볼 수 있는 기회가 되기 때문에 실습을 해보도록 하겠습니다. 다만 BitLocker는 Windows 10/11 Pro, Enterprise, 그리고 Education 버전에서 사용할 수 있으며 home 버전에서는 사용할 수 없습니다. home 버전인 경우 bitlocker 생성은 눈으로만 살펴보시고 아래에서 bitlocker 가상디스크를 다운 받아 실습해보시길 바랍니다.
가상 디스크를 만들어서 생성하는 연습을 해볼 것이기 때문에 아래 페이지를 통해 먼저 가상디스크 활용 방법을 먼저 알고 진행해보도록 하겠습니다. > (연습용) 가상디스크 만들기
가상디스크를 간단히 만들어보도록 하겠습니다. 먼저 Win + X 키를 누른 뒤 디스크 관리를 선택합니다. 이후 동작 - VHD 만들기 선택 후 작은 용량으로 가상디스크를 생성해보도록 하겠습니다.
생성 된 디스크를 연결 한 뒤 해당 디스크를 초기화 합니다.(MBR, GPT 등은 자유롭게 선택하여도 됩니다.) 이후 새 단순 볼륨으로 원하는 파일시스템을 생성(포맷)합니다.
이 후 테스트를 위해 가상 드라이브에 파일을 아무거나 생성해보도록 합시다. 저 같은 경우 test.txt 파일을 생성하였습니다. 이 후 FTK Imager에서 가상 드라이브의 피지컬 드라이브를 연 뒤 생성한 text.txt 가 정상적으로 접근 되는 것을 확인합니다.
이제 생성한 가상 드라이브를 bitlocker를 이용하여 암호화 하도록 하겠습니다. Win 키를 누른 뒤 "bitlocker"를 검색하거나, 제어판에서 bitlocker를 검색할 경우 아래와 같이 "BitLocker 관리" 메뉴에 접근이 가능합니다. [이 부분이 안보일 경우 bitlocker를 지원하지 않는 윈도우 버전일 수 있으니 이후에 참고로만 살펴보시고 아래에서 bitlocker 가상디스크를 다운 받아 실습해보시기 바랍니다.]
고정 데이터 드라이브에서 새로 추가한 가상디스크 드라이브를 선택 한 뒤 [BitLocker 켜기] 를 선택합니다.
아래 암호를 사용하여 드라이브 잠금 해제를 선택한 뒤 암호를 입력합니다. 실습용 가상디스크에는 "forensic2024" 설정하였습니다. 다만, 복구를 위해 꼭 필요한 건 아닙니다.
이 후 [파일에 저장]을 선택하게 되면 txt 파일을 저장합니다. 이 파일에 복구키가 포함되므로 매우 잘 관리하여야 합니다.
이 이후 아래 내용들은 선택 한 뒤 암호화 시작을 선택하여 암호화를 진행하도록 하겠습니다. - 전체 드라이브 암호화 - 새 암호화 모드 또는 호환 모드
아래 가상디스크를 다운 받아 같은 실습이 가능합니다. 다운 받은 후 압축 해제 한 뒤 vhd파일을 우클릭 - 탑재 합니다.
이후 FTK Imager에서 살펴보도록 하겠습니다. Evidence 추가 후 Physical Drive를 선택 후 생성한 가상 디스크를 선택해보도록 하겠습니다. 암호화가 되어 있어 내부 구조를 확인할 수 없습니다. 시그니처를 살펴보면 ex-FVE-FS 와 같은 값을 표시해주고 있습니다. 즉, 이런 시그니처를 확인하면 암호화된 파일시스템 또는 bitlocker로 암호화된 파일시스템 구조인 것입니다.
실제 시험에서 이런 파일 시스템의 내부 구조가 보이지 않고 위와 시그니처 구조를 갖고 있다면, bitlocker로 암호화 된 것 일 수 있는 것입니다.
시험에서 제공하는 포렌식 도구 중에는 아직까지는 bitlocker 파일시스템에 암호를 입력 및 복호화 하여 내부 구조를 볼 수 있는 도구가 사실상 EnCase 밖에 없는 실정입니다. 따라서 무료 도구로 분석을 위해서는 bitlocker 분석이 가능한 도구를 제공하기 전까지는 사실상 억지로 bitlocker 인식이 가능하도록 만들어야 하는 상황입니다. 이 부분을 한번 살펴보도록 하겠습니다.
먼저 시험에서는 vhd 가상 디스크를 제공한 형태는 없는 것으로 알고 있습니다. (정확하지 않을 수 있습니다.) 제공한다면 쓰기방지 설정 후 인식 시켜 진행할 수 도 있겠으나, 그렇지 않는 형태의 문제가 출제되었다고 알려져 있습니다. 이 부분 연습을 진행해보도록 하겠습니다. 먼저, 연결되어 있는 가상디스크를 분리 한 뒤 처음부터 진행해보도록 하겠습니다.
이 상태에서 FTK Imager를 이용하여 Raw 이미지 획득을 진행합니다. 실제 시험에서는 USB와 같은 분석대상이라고 생각하고 진행해보도록 하겠습니다. (VHD는 일단 잊어버립시다.)
최상위 드라이브에서 우클릭 - Export Disk Image를 선택 한 뒤 Add 를 눌러 raw 이미지를 추출하여 봅시다.
FTK Imager에서 이제 raw 이미지를 불러오도록 하겠습니다.
당연하게도 raw 이미지에서도 동일하게 확인이 가능합니다.
이제 우리의 목표는 이 저장매체를 윈도우에 인식시켜 암호를 입력하고 bitlocker를 해제하는 과정을 거쳐야 합니다. 이전에는 image mounting 기능을 활용할 수 있었으나 최근 윈도우에서 이러한 방법이 안 되는 케이스도 발견되어 몇 가지 테스트 결과 가상디스크를 활용하는 방법이 안정적이어서 이 방법을 소개하도록 하겠습니다. (이 방법이 옳거나 정석은 아니지만, 도구가 없는 상황에서는 시도해 볼만한 방법으로 생각됩니다.) 먼저 추출한 raw 이미지의 우클릭 - 속성에서 확인 되는 MB 용량 또는 raw 이미지 생성하면 함께 생성되는 로그 파일인 txt 파일에서 Data Size의 용량을 확인합니다.
Win + X 에서 디스크 관리에서 동작 - VHD 만들기를 선택 한 뒤 Raw 이미지와 동일한 크기로 설정 후 생성합니다.
HxD를 이용하여 방금 생성한 vhd 파일을 열어보겠습니다. 도구 - 디스크 이미지 열기를 선택한 뒤 방금 생성한 vhd 파일을 선택합니다.
이 후 가장 마지막 섹터로 간 뒤 마지막 1섹터를 복사하도록 합시다. conectix~로 시작하는 부분이어야 합니다.
Raw 이미지도 디스크 이미지 열기를 이용하여 열어봅시다.
이후 복사한 한 섹터를 Raw 이미지 가장 마지막 뒤에 우클릭 후 [붙여넣기 삽입]을 선택하여 1섹터를 삽입한 뒤 저장 합니다. (이때 FTK Imager에 Raw를 열었었다면 FTK Imager는 종료하고 진행합니다.)
아래와 같이 raw 이미지의 확장자를 vhd로 변경 한 뒤 우클릭 - 탑재 해보도록 하겠습니다. -> 즉, raw 이미지를 vhd 구조로 변경한 것입니다.
실제 시험에서는 바로 탑재하는 것이 아닌 디스크 관리에서 읽기 전용으로 연결해야 합니다.
만약 암호를 안다면 우측상단에 입력하면 됩니다. 그러나 실제 시험에서는 이 부분의 암호를 쉽게 알려주지 않습니다.
그렇다면.. 실제 시험에서는 bitlocker 복구 키를 어떻게 확인할 수 있을까요? 위에서 bitlocker를 만드는 과정에서 아래 그림과 같은 키 파일을 생성하게 됩니다. 즉, 아래 "Bitlocker 복구 키~~" 파일을 어딘가에 저장해두거나 또는 파일시스템 어딘가에 아래의 텍스트가 한번은 저장되어 존재하게 됩니다. 이 파일을 찾아서 복구를 시도하게 되는 문제가 출제되었습니다.
위의 "forensic2024"를 입력하였다면, 아래와 꺼내기 하여 연결 해제 후 다시 vhd를 연결 하도록 하겠습니다.
다시 디스크를 선택 한 뒤 우측상단에 잠금해제 암호 입력 창에서 복구키를 이용하여 복호화 할 때는 기타옵션 - 복구 키 입력 후 위에서 확인한 복구 키를 입력 후 잠금해제를 합니다.
비트락커가 해제되어 내부 파일시스템에 저장된 파일을 확인할 수 있게 됩니다.
그렇다면 이제 FTK Imager와 Autopsy를 이용하여 분석을 해야 합니다. 그렇다면 우리가 암호를 입력하면 물리적으로 모두 복호화가 되어 있을까요? 한번 physical drive로 열어보도록 하겠습니다. 여전히 암호화가 되어 있습니다.
우리가 Autopsy와 같은 도구에서 분석해야 하는데 이렇게 되어 있으면 분석을 할 수 없습니다. 그러나 암호를 입력하였는데도 물리드라이버는 여전히 암호화 되어 있습니다. 윈도우에서 암호 입력 후 접근이 가능한 이유는 논리적으로 복호화 하고 있기 때문입니다. 이번엔 Logical Drive를 선택 하여 bitlocker 복호화한 드라이브를 선택하여 봅시다.
이후에는 정상적으로 복호화한 파일시스템 구조를 확인 할 수 있습니다. 이렇게 복호화된 파일시스템을 추출하여야 합니다.
최상위 드라이브 선택 후 Export Disk Image에서 raw 이미지로 추출 한 뒤 Autopsy 에서 분석을 이어서 진행할 수 있게 됩니다.
bitlocker의 경우 윈도우에서 사용하는 디스크 암호화 방식입니다. 가능하면 포렌식 도구가 이미지를 인식하면 바로 암호를 넣고 복호화 해주면 좋겠지만, 아쉽게도 시험장에서 제공하는 도구에는 해당 도구가 EnCase말고는 없는 실정입니다. 따라서 윈도우 기능을 잘 활용하여 문제 해결을 해야하는 실정입니다. 사실 제가 소개한 vhd를 만들어서 인식하는 것은 사실 좋은 방법으론 볼 수 없다고 생각합니다. 실제로 이렇게 분석할 일도 없구요.. 그럼에도 소개 시켜드린 이유는 분석이 불가능한 건 아니며 이렇게라도 억지로 만들어서 분석할 수는 있다는 것 입니다. 사실 시험에서 이런걸 원하진 않을 것 입니다만.. 무료도구를 사용하여 시험에 임하는 분들을 위해서는 문제를 출제할 때 이러한 점까지 잘 고려하여 시험 문제를 제출하면 좋을 것이지만.. 아직까지는 실기시험 범위가 명확하지 않아서 그런지 시험마다 이러한 점이 고려되기도, 그렇지 않기도 합니다. 수험자 입장에서는 모두 대비해야 하다 보니 이렇게라도 할 수 있다는 것을 공유 드리며, 다만 bitlocker는앞으로 시험에 자주 출제될 문제 유형은 아니라고 생각합니다.
추후에 시험장에서 제공하는 도구 중에서 EnCase를 제외한 bitlocker를 분석할 수 있는 도구가 제공된다면 지금 이 페이지에서 소개한 부분은 모두 수정될 예정입니다. bitlocker 분석 도구가 있다면 중간에 raw 이미지를 vhd로 만들고 하는 과정은 모두 생략될 것 입니다.
정리하면 bitlocker가 있는 파일시스템이 있다면, "Bitlocker 복구 키~~" 파일을 잘 찾아야 하고, 파일명을 못 찾더라도, 키워드 검색 등으로 파일시스템 어딘가에 있는 bitlocker 복구 키 부분을 검색하여 찾을 수 있는 문제가 출제될 것으로 보입니다. 이 부분은 추후에 연습 문제를 통해서 익숙해지면 어렵지 않게 해결 가능할 것 입니다.
먼저 위에서 bitlocker를 설정한 vhd를 다시 탑재하여 봅시다. 다시 연결할 경우 아래 그림과 같이 디스크 앞에 마크가 붙게 됩니다.
이제 좌측에 마크가 붙은 드라이브가 표시되고 해당 드라이브를 선택하면 우측 상단에 암호를 입력할 수 있는 창이 표시가 됩니다. 이렇게 되면 정상적으로 bitlocker 구조의 디스크를 윈도우의 vhd 구조로 변경하여 인식 시킨 것입니다.
