7) bitlocker
Last updated
Last updated
사실 시험대비에 있어서 bitlocker를 굳이 직접 설정할 필요는 없긴 합니다. 다만 한번 정도 해보고 나면 bitlocker가 어떤 의미인지 한번 확인해볼 수 있는 기회가 되기 때문에 실습을 해보도록 하겠습니다. 다만 BitLocker는 Windows 10/11 Pro, Enterprise, 그리고 Education 버전에서 사용할 수 있으며 home 버전에서는 사용할 수 없습니다. home 버전인 경우 bitlocker 생성은 눈으로만 살펴보시고 아래에서 bitlocker 가상디스크를 다운 받아 실습해보시길 바랍니다.
가상 디스크를 만들어서 생성하는 연습을 해볼 것이기 때문에 아래 페이지를 통해 먼저 가상디스크 활용 방법을 먼저 알고 진행해보도록 하겠습니다. > (연습용) 가상디스크 만들기
가상디스크를 간단히 만들어보도록 하겠습니다. 먼저 Win + X 키를 누른 뒤 디스크 관리를 선택합니다. 이후 동작 - VHD 만들기 선택 후 작은 용량으로 가상디스크를 생성해보도록 하겠습니다.
생성 된 디스크를 연결 한 뒤 해당 디스크를 초기화 합니다. (MBR, GPT 등은 자유롭게 선택하여도 됩니다.) 이 후 새 단순 볼륨으로 원하는 파일시스템을 생성(포맷)합니다.
이 후 테스트를 위해 가상 드라이브에 파일을 아무거나 생성해보도록 합시다. 저 같은 경우 test.txt 파일을 생성하였습니다. 이 후 FTK Imager에서 가상 드라이브의 피지컬 드라이브를 연 뒤 생성한 text.txt 가 정상적으로 접근 되는 것을 확인합니다.
이제 생성한 가상 드라이브를 bitlocker를 이용하여 암호화 하도록 하겠습니다. Win 키를 누른 뒤 "bitlocker"를 검색하거나, 제어판에서 bitlocker를 검색할 경우 아래와 같이 "BitLocker 관리" 메뉴에 접근이 가능합니다. [이 부분이 안보일 경우 bitlocker를 지원하지 않는 윈도우 버전일 수 있으니 이후에 참고로만 살펴보시고 아래에서 bitlocker 가상디스크를 다운 받아 실습해보시기 바랍니다.]
고정 데이터 드라이브에서 새로 추가한 가상디스크 드라이브를 선택 한 뒤 [BitLocker 켜기] 를 선택합니다.
아래 암호를 사용하여 드라이브 잠금 해제를 선택한 뒤 암호를 입력합니다. 실습용 가상디스크에는 "forensic2024" 설정하였습니다. 다만, 복구를 위해 꼭 필요한 건 아닙니다.
이 후 [파일에 저장]을 선택하게 되면 txt 파일을 저장합니다. 이 파일에 복구키가 포함되므로 매우 잘 관리하여야 합니다.
이 이후 아래 내용들은 선택 한 뒤 암호화 시작을 선택하여 암호화를 진행하도록 하겠습니다. - 전체 드라이브 암호화 - 새 암호화 모드 또는 호환모드
아래 가상디스크를 다운 받아 같은 실습이 가능합니다. 다운 받은 후 압축 해제 한 뒤 vhd파일을 우클릭 - 탑재 합니다.
이후 FTK Imager에서 살펴보도록 하겠습니다. Evidence 추가 Physical Drive를 선택 후 생성한 가상 디스크를 선택해보도록 하겠습니다. 암호화가 되어 있어 내부 구조를 확인할 수 없습니다. 시그니처를 살펴보면 ex-FVE-FS 와 같은 값을 표시해주고 있습니다. 즉, 이런 시그니처를 확인하면 암호화된 파일시스템 또는 bitlocker로 암호화된 파일시스템 구조인 것입니다.
실제 시험에서 이런 파일 시스템의 내부 구조가 보이지 않고 위와 시그니처 구조를 갖고 있다면, bitlocker로 암호화 된 것 일 수 있는 것입니다.
시험에서 제공하는 포렌식 도구 다행이 bitlocker 를 바로 분석할 수 있는 도구가 EnCase 입니다. 따라서 무료 도구로 분석을 위해서는 bitlocker 분석이 가능한 도구를 제공하기 전까지는 사실상 억지로 bitlocker 인식이 가능하도록 만들어야 하지만, EnCase를 이용할 경우 이미지만 생성 후 바로 분석하도록 하겠습니다.
먼저 시험에서는 vhd 가상 디스크를 제공한 형태는 없는 것으로 알고 있습니다. (정확하지 않을 수 있습니다.) 제공한다면 쓰기방지 설정 후 인식 시켜 진행할 수 도 있겠으나, 그렇지 않는 형태의 문제가 출제되었다고 알려져 있습니다. 이 부분 연습을 진행해보도록 하겠습니다. 먼저, 연결되어 있는 가상디스크를 분리 한 뒤 처음부터 진행해보도록 하겠습니다.
이 상태에서 FTK Imager를 이용하여 Raw 이미지 획득을 진행합니다. 실제 시험에서는 USB와 같은 분석 대상이라고 생각하고 진행해보도록 하겠습니다. (VHD는 일단 잊어버립시다.)
최상위 드라이브에서 우클릭 - Export Disk Image를 선택 한 뒤 Add 를 눌러 raw 이미지를 추출하여 봅시다.
이제 EnCase에서 raw 이미지를 추가하도록 하겠습니다.
New를 선택 한 뒤 추출한 Raw 이미지를 선택합니다.
추가한 이미지 Name 을 선택하면 EnCase가 Bitlocker 인 경우 암호를 입력할 수 있게 해줍니다. 여기서 Recovery Password 옵션에서 식별자를 선택 한 뒤 암호를 입력해야 합니다. 이때 필요한 것이 Bitlocker 복구키 txt 파일의 내용을 참고하여 입력하게 됩니다.
Bitlocker 암호를 찾아야 하는 경우 "Bitlocker 복구 키~~.txt" 파일이 있거나 삭제된 영역등에 저장되어 있을 수 있습니다. 이 경우 키워드 검색 등을 통해서 복구키 관련 부분을 찾아야 하는 것 입니다.
만약 암호를 처음에 몰라서 열어 본 경우 다시 암호를 입력하여 열고자 할 경우 해당 Bitlocker 이미지 선택 후 [Rescan device cache]를 클릭하면 다시 암호 입력을 할 수 있습니다.
정상적으로 암호화가 해제되어 내부 구조를 확인할 수 있게 되면 이 파일시스템을 기존과 동일한 형태로 분석하여 문제를 해결할 수 있게 되는 것입니다.
bitlocker의 경우 윈도우에서 사용하는 디스크 암호화 방식입니다. EnCase의 경우 Bitlocker로 암호화된 이미지를 분석해주는 기능이 있어 암호만 있으면 정상 분석이 가능합니다. 다만, 시험장에서 제공하는 bitlocker 전용으로 분석해주는 도구는 EnCase는 말고는 없는 실정입니다.
정리하면 bitlocker가 있는 파일시스템이 있다면, "Bitlocker 복구 키~~" 파일을 잘 찾아야 하고, 파일명을 못 찾더라도, 키워드 검색 등으로 파일시스템 어딘가에 있는 bitlocker 복구 키 부분을 검색하여 찾을 수 있는 문제가 출제될 것으로 보입니다. 이 부분은 추후에 연습 문제를 통해서 익숙해지면 어렵지 않게 해결 가능할 것 입니다.
먼저 위에서 bitlocker를 설정한 vhd를 다시 탑재하여 봅시다. 다시 연결할 경우 아래 그림과 같이 디스크 앞에 마크가 붙게 됩니다.
참고로 EnCase를 사용할 수 없는 경우 윈도우 기능 + vhd 구조를 이용하여 bitlocker 이미지를 강제로 윈도우의 가상 디스크로 만들어서 분석해 볼 수는 있습니다. >> 그러나 이러한 방식은 사실 좋은 방법으론 볼 수 없습니다. 실제로 이렇게 분석할 일도 없구요.. 그럼에도 소개 시켜드린 이유는 분석이 불가능한건 아니며 이렇게 억지로 만들어서 분석할 수는 있다는 것 입니다. 사실 시험에서 이런걸 원하진 않을 것 입니다만.. 무료도구를 사용하여 시험에 임하는 분들을 위해서는 문제를 출제할 때 이러한 점까지 잘 고려하여 시험문제를 제출하면 좋을 것이지만.. 아직까지 실기시험 범위가 명확하지 않아서 그런지 시험 유형이 계속 바뀐다는 것 입니다. 수험자 입장에서는 모두 대비해야 하다 보니 이렇게라도 할 수 있다는 것을 공유 드리며, 다만 bitlocker는 앞으로 시험에 자주 출제될 문제 유형은 아니라고 생각합니다.
