3-1) 파일 관련 분석 1

디지털포렌식 2급 문제의 단골 문제로 대부분의 주요 답안으로 활용되는 매우 중요한 부분! 기본적으로 Autopsy와 HxD를 이용하여 분석을 진행할 수 있습니다.

시험 문제에서 요구하는 기본적인 주요 의심 증거 파일을 찾을때 알아야 하는 부분이며 최소 합격점에 근접할 수 있는 기본 문제유형 입니다.

1. 포렌식 도구(EnCase)를 이용한 파일분석 준비

1. 파일 분석을 위해선 포렌식 종합 분석 도구를 활용하여 분석을 하게 됩니다. 저장매체, 파일시스템 분석을 위해 이미지를 EnCase에 연결하였으니 이어서 진행하면 됩니다.

2. 다시 한번 살펴보면 케이스를 생성 해봅시다.

   

   복구한 이미지를 추가합니다.

   
3. 추가 후 Name 부분을 클릭하면 내부구조를 확인할 수 있습니다.

   

   당연하게도 포렌식 도구에 익숙하지 않은 분들은 시간이 걸릴 수 있습니다. 다만 앞으로 계속 동일한 것을 반복할 것이기 때문에 꾸준히 연습문제 등을 해결하다 보면 계속 쓰는 기능을 쓰게되고, 어느 순간에는 엄청난 속도로 이것 저것 살펴보는 자신을 발견하게 될 것입니다. 그 중에서도 하나만 먼저 살펴보자면 좌측에 방향표(플레이트)를 클릭하면 녹색으로 변하면서 우측 테이블에 많은 파일 목록이 추가됩니다. 이건 하위 폴더의 모든 하위 폴더의 모든 파일들도 한번에 우측에 표시해주는 것입니다. 이것을 이용하면 검색 등을 하는데 효율 적이기 때문에 자주 사용하시는 걸 추천합니다.

   

   이제 분석 준비가 되었으니, 하나씩 살펴보면서 전처리(Processing) 기능도 필요한 것, 그리고 간단한 원리를 한번 알아보고 진행하도록 하겠습니다.

2. 삭제된 파일

• 삭제된 파일의 경우 복구가 가능한 경우 FTK Imager, EnCase 에서 이미 복구가 되어 표시하여 줍니다. 따라서 분석 도구에서 따로 무엇인가를 할 필요는 없습니다. 다만, 추후에 답안 작성 또는 보고서 작성 시, 주요 증거파일이 삭제된 파일이었다는 내용을 활용하는 것으로 충분합니다.

• 아래 그림과 같이 파일이 삭제될 경우 파일 아이콘이 표시가 되며, 삭제된 파일의 내용이 복구되어 보일 수도 있고, 다른 파일들의 내용이 덮어써져 있을 수도 있습니다. (이는 분석을 해봐야 아는 것입니다.)

  
• 따라서, 실제 시험에서는 삭제된 파일이라고 크게 신경 쓸 필요 없이 분석 하되 만약 시험 문제에서 주요 증거 파일에 대해서 설명할 때, 삭제된 파일이었을 경우 해당 파일은 삭제되었으나, 복구되어 내용 확인이 가능하다는 부분을 포함해야 합니다. (기출 문제 중 주요 증거파일이 삭제되어 있었으나, 포렌식 도구에서는 정상 복구 된 경우가 있습니다.)

3. 확장자 변경과 시그니처 훼손

• 시험에서 가장 많이 나오는 유형으로 실제 확장자를 고의로 변경하여, 해당 파일의 내용을 알기 어렵게 만드는 유형입니다.

• 전 자료를 먼저 실습 한 뒤 진행하시는 것을 추천합니다. > 2) 파일과 친해지기

3-1) 확장자 변경된 파일 찾기

1. 먼저 EnCase에서 이러한 분석을 도와줄 전처리 프로세싱을 진행해보도록 합시다. 트리창에서 우클릭 - Process - Process All - Create Custom 또는 우측 상단의 Process 를 선택합니다.

   

   - File Signature analysis 체크 합니다. (나머지는 전부 체크 해제)

   
2. View - Processor Manager, 또는 우측 하단에서 프로세싱 진행상황을 확인할 수 있습니다. 실제 시험에서는 용량 및 파일 수가 많을 있기에 때문에 충분한 시간이 필요할 수 있습니다.

   

   프로세싱이 끝나면 우클릭 Refresh 하면 적용 됩니다.

   

Check all file types except text file의 경우 텍스트 파일은 제외하는 이유

• 메모장에 특정 텍스트 입력 후 Hex를 이용하여 열어봅시다. 메모장의 경우 특별한 시그니처 없이 그대로 hex 값을 보여주고 있습니다. 대부분의 그림, 문서 파일등의 경우 시그니처를 가지나 text의 경우 시그니처가 없기 때문에 시그니처와 확장자를 비교하는 것이 의미가 없는 것입니다.

  

1. 먼저 정상 파일을 한번 살펴보겠습니다. D의 "1. 파일 확장자 변경 - 정상" 폴더에 있는 "정상워드.docx" 파일을 선택 후 Hex 값을 살펴보면 "50 4B 03 04" (PK~~)로 시작 합니다.

   
2. "1. 파일 확장자 변경" 폴더에 있는 여러 파일들이 있는데, 확장자가 모두 다르지만 hex 보면 시그니처가 동일합니다.

   
3. 한번 추출을 해서 실행해보도록 하겠습니다. Ctrl 또는 Shift를 누른 상태로 여러 파일 선택 후 우클릭 - Extract File(s)를 선택하여 파일을 추출할 수 있습니다.

   

   여러 파일 추출 시 체크한 파일을 대상으로 한 뒤 다음을 선택합니다. 이후에 저장할 경로를 선택 합니다. Open Destination Folder 선택 시 추출한 폴더가 열립니다.

   
4. 아래 파일들 중 exe, pdf의 경우 실행하면 정상적으로 내용 확인이 불가능 합니다. 이유는 실제 exe, pdf 파일이라면 다른 시그니처를 가져야 하나 워드 파일의 시그니처를 가진 파일의 확장자를 고의로 변경하였기 때문입니다.

   
5. exe, pdf 파일의 확장자를 docx (워드) 변경 후 파일을 열게 되면 정상적으로 파일이 열리고 내용 확인이 가능합니다. 즉, 원래 docx 파일을 exe, pdf 확장자로 변경한 경우입니다.

   
6. 다만 특이사항으로, zip 압축파일 형태인 것을 살펴보겠습니다. 실제로 압축해제를 하면 정상적으로 압축해제가 되고, 열어보면 특정 폴더와 내용이 확인됩니다.

   
7. 이유는 word, pptx, xlsx (오피스)파일의 경우 시그니처가 PK~~로 실제 압축파일 형태와 동일한 시그니처를 가집니다. 한번 비교 테스트 해보겠습니다. 파일들 아무거나 선택 후 압축을 해보도록 합시다.

   

   압축파일을 Hex로 열어보면 정상 워드 파일의 시그니처와 동일한 것을 알 수 있습니다.

   

   즉, 압축파일과 오피스 시그니처가 동일한 것을 알 수 있습니다. 오피스 파일을 압축파일 확장자로 변경할 경우 또는 그 반대 일 경우 포렌식 도구에서는 전처리 후 확장자와 시그니처가 다른 것을 구분 못하는 경우가 있습니다. 이를 이유로 자격시험에서도 자주 출제되고 있는 형태입니다. EnCase에서 정상워드.zip 파일을 [Doc] 탭에서 보면 문서 내용을 확인할 수 있습니다. 반면 Signature Analysis 분석 결과를 보면 Match로 정상파일로 보여주고 있습니다.

   
8. EnCase에서는 Signaure Analysis 를 다시 살펴보겠습니다.

   

   (EnCase 메뉴얼) - Match : EnCase에 등록된 확장자와 시그니처(Hex값 앞부분)이 일치한 경우(정상 파일) - Alias : EnCase에 파일 헤더 시그니처가 있지만, 파일 확장자가 다른 경우 - Bad Signature : 파일의 시그니처와 확장자 정보 모두 EnCase에 있으나 헤더와 확장자가 다른 경우 - UnKnown : 파일의 확장자와 실제 시그니처가 EnCase에 없는 경우 정리하면, EnCase에는 확장자와 시그니처 정보를 매핑하여 저장하고 있습니다.

   • Match : 파일의 Hex 앞 부분이 EnCase에 등록된 시그니처와 확장자가 같음

   • Alias : 파일의 Hex 앞 부분이 EnCase에 등록된 시그니처와 같으나 확장자가 다름

   • Bad Signature : 파일의 Hex 앞 부분이 EnCase에 등록되지 않은 시그니처면서 확장자는 등록되어 있음

   • UnKnown : 파일의 Hex 앞 부분이 EnCase에 등록되지 않은 시그니처이고 확장자도 등록되지 않음

   -> Match : 확장자, 시그니처 정상(알려진 시그니처, 알려진 확장자 일치) -> Alias : 확장자가 변경된 경우 (알려진 시그니처, 알려진 확장자 불일치) -> Bad Signature : 시그니처가 변경되었거나 훼손된 경우 (알려지지 않은 시그니처, 알려진 확장자) -> UnKnown : 확장자와 시그니처 모두 알려지지 않음 정리하면 실제로는 Docx 파일인데 exe, pdf, zip 로 변경한 파일에 해당하는 것 입니다. 우리가 시험에서 봐야하는 부분은 Alias, Bad Signature 파일입니다. 다만 모든 Alias, Bad Signature를 봐야하는 것은 아니니 추후에 연습문제에서 좀 더 효율적인 방식으로 찾는 것을 살펴보겠습니다.

9. 정상 파일이랑 같이 한번 비교해보겠습니다. "파일 확장자 변경 폴더" 플레이트를 선택하여 하위 정상 폴더에 있는 파일과 함께 보도록 하겠습니다. 정상의 경우 Match 가 표시되며, 확장자가 변경된 것은 Alias로 표시 됩니다. 다만 정상워드.zip의 경우 Match 로 표시됩니다.

   

   워드 파일과 압축파일의 알려진 시그니처가 동일해서 이렇게 표시되는 것입니다. 이러한 이유로 시험에서 실제로는 문서파일인데 압축파일로 변경하거나 반대로, 실제로는 압축파일인데 문서파일로 변경하여 숨기는 경우가 빈번히 출제됩니다.

10. 다만 실제 실기 시험이나 사람들이 오래 사용한 PC 등을 분석하게 될 경우 이렇게 시그니처와, 확장자가 맞지 않는 파일이 매우 많을 수 있습니다. 따라서 단순히 프로세싱 결과 부분만 살펴보면 되는 것이 아니라 실제 대부분의 폴더를 살펴보면서 고의로 확장자를 변경하였을 것으로 보이는 파일들을 찾는 것을 시도해봐야 합니다.

3-2) 시그니처 훼손된 파일 복구

• 먼저 예를들어 JPG(그림파일)의 시그니처를 훼손하면 그림판 또는 이미지 뷰어 프로그램이 JPG 파일을 정상적으로 열지 못하게 됩니다. * 시그니처(파일의 가장 처음에 저장된 일정한 영역의 Hex값)

• 대부분의 파일은 특정 구조를 가지고 있고, 가장 처음에 동일한 파일 구조에 따라 특정한 값이 고정적으로 저장되고 있습니다. 만약 이를 훼손한다면 해당 파일을 보여주는 프로그램등 해당 파일 내용을 해석해주지 못해서 내용 확인을 하기 어렵습니다.

• 포렌식 도구는 대부분 확장자와 특정 파일의 첫 부분인 시그니처를 저장하고 있으며, 확장자와, 시그니처가 다를 경우 표시를 해주어 분석에 도움을 줍니다

1. 먼저 정상 파일을 한번 살펴보겠습니다. 정상 파일의 경우 내용도 확인이 가능하고, 시그니처도 정상입니다.

   
2. 반면 훼손 파일들을 살펴보면 시그니처가 훼손되어 있는 것을 알 수 있습니다. 이 경우, 포렌식 도구도 내용을 보여주지 못하고 있네요!

   
3. 한번 이 파일들을 추출한 뒤 정상 시그니처로 변경해보도록 하겠습니다. 먼저 파일 추출을 합니다.

   

   파일 추출 후 Hex를 이용하여 JGP의 정상시그니처인 FF D8을 입력하겠습니다.

   

   당연하게도 정상적으로 확인이 가능합니다.

   
4. 그렇다면 PNG, PDF, docx도 동일하게 시그니처를 정상시그니처로 변경해보도록 하겠습니다. 먼저 파일들을 추출합니다.

   

   그런데, 항상 파일별로 시그니처를 외우고 다녀야 할까요? 그럴 필요 없이 동일한 확장자의 파일을 생성 후 hex를 이용하여 확인해서 사용하시면 됩니다. 그림판으로 아무 그림이나 그리고 png 파일을 생성해보도록 하겠습니다.

   

   해당 파일을 hex 로 확인 후 시그니처가 훼손된 파일에 정상 시그니처 값을 참고하여 입력합니다.

   

   만약 시험에서 동일한 확장자를 가진 정상 파일이 이미 있다면 해당 파일을 참고해서 시그니처 값으로 참고하여도 됩니다.

   

   
5. 이제 시험에서 나올만한 유형을 한번 직접 만들어 봅시다. 먼저 시그니처 복구하지 않은 워드 파일을 압축해보도록 하겠습니다.

   

   아래와 같이 확장자를 docx로 변경하여 봅시다. 정리하면, 이 docx는 실제로는 압축파일이며, 압축파일 내에는 시그니처가 훼손된 docx가 있습니다.

   

   실습까진 필요없으나 참고로 살펴보면 EnCase 의 Envidence 에서 뒤로가기 후 해당 파일을 드래그해서 넣으면 EnCase 내에서 분석이 가능합니다.

   

   이후 파일이 추가되면 Name 을 눌러 등록한 파일을 확인할 수 있으며 파일 체크 후 우클릭 Entries - Hash /Sig Selected 에서 Verify file Signature를 체크 후 OK 하면 시그니처 분석을 해줍니다.

   

   Refresh 하게 되면 Signature Analysis 결과를 확인 할 수 있습니다. 당연하게도 docx의 시그니처는 압축파일과 동일하기 때문에 시그니처 분석에서도 Match 입니다.

   

   docx 문서 파일이지만 우리는 압축파일로 만들었습니다. 따라서 [Doc] 탭에서도 내용 확인이 불가능합니다. 다만 압축파일인 것은 우리는 알기 때문에 우클릭 - Entires - View File Structure를 한번 해봅시다.

   

   클릭을 하면 압축파일 내에 있는 docx 파일을 확인할 수 있습니다. 당연하게도 우리는 시그니처가 훼손된 문서파일을 압축했기 때문에 시그니처가 훼손되어 내용 확인이안됩니다. 아쉽게도 EnCase의 경우 한글 파일명을 잘 보여주지 않기 때문에 실제로 압축파일인데 확장자 변경된 것으로 보이면 직접 추출하여 압축 해제해보는 것을 추천합니다.

   

6. 위의 파일을 추출하나 또는 우리가 압축하기 전에 훼손된 워드 파일의 시그니처 값을 정상값으로 수정한 뒤 내용 확인을 해봅시다.

   

   정상적 시그니처로 수정한 뒤 docx 파일을 열게 되면 내용 확인이 가능합니다.

   
7. 실제로 시험에서는 우리는 이런식으로 숨겨진 파일이 여러파일들 중에 슬쩍 들어가 있는 상태로 분석을 하게 됩니다. 만약 파일들을 살펴보다가 아래와 같이 확장자는문서파일인데 압축파일 구조가 있을 경우에는 추출해서 압축해제를 해봐야하는 것입니다. 압축 해제 후 파일이 정상적으로 열리지 않는다면, hex로 시그니처 훼손이 되었거나, 혹은 확장자가 바뀌었는지도 살펴봐야겠지요.

   

   정상 문서파일의 경우 압축파일과 같은 PK 시그니처로 시작하나 [Content_types].xml 이 확인 가능한 형태로 보이고 00 값도 많이 보입니다. 반대로 이러한 문서 파일인데 확장자를 zip로 숨기는 문제도 출제 됩니다.

   

시나리오와 관련된 파일인 경우 삭제되거나, 확장자 변경/시그니처 훼손된 파일이 발견될 경우 유심히 살펴봐야 합니다. 이후에 이렇게 발견된 파일을 답안에 활용하는 방법은 뒤에서 알아보도록 하겠습니다.