8) 가상머신(참고)

Previous7) bitlocker NextEnCase를 활용한 분석연습 정리

Last updated 5 months ago

8) 가상머신(참고)

24년 하반기 시험장 제공도구에서 가상머신 관련 도구가 제외 되었습니다. 따라서 이 부분은 개인 공부용으로 참고로 활용하시면 될듯 하네요! >

지금까지는 저장매체에서 Raw 이미지, E01과 같은 형태의 이미지를 수집하였으나 최근에는 vmdk와 같은 가상머신의 저장매체를 분석하는 문제도 출제되고 있습니다.

기본적인 구조를 확인한 뒤 실제시험에서 가상머신의 저장매체를 분석하기 위해서 어떻게 해야하는지 살펴보겠습니다. 만약 연습시간이 충분하지 않은 경우 그냥 눈으로만 살펴보시고 실제 실습은 하지 않으셔도 무방(시험 출제될 확률이 낮음)

1. 가상머신

가상머신(Virtual Machine, VM)은 물리적인 컴퓨터 시스템 위에서 소프트웨어로 구현된 가상의 컴퓨터입니다. 즉, 가상머신은 물리적인 컴퓨터처럼 동작하지만, 실제로는 소프트웨어에 의해 가상화된 환경에서 작동 합니다.
가상머신의 종류 VMware, VirtualBox, Hyper-V 등이 있으나, ~~실제 시험에서 "VMware-player-full-17.5.0-22583795 / VMWare Inc." 도구를 제공하고 있습니다.~~ > 24년 시험장 제공도구 제거 > 즉, 가상머신 관련 시험 문제는 앞으로 나오지 않을 가능성이 높아졌네요!

[참고] 가상머신 환경에 윈도우 설치하기

시험대비를 위해서 가상머신에 사용법까지는 사실 연습할 필요는 없습니다. 다만 이런식으로 활용할 수 있다 정도를 이해하시고 이후에 분석할 가상머신 저장매체 부분이 어떻게 생성되었는지, 어떤 구조로 되어 있는지 파악 하는데 도움이 되기 때문에 한번 정도 눈으로만 살펴보셔도 충분할 것입니다.

먼저 가상머신에 설치할 윈도우 설치파일(ISO)를 다운받아보도록 하겠습니다. - 마이크로소프트 다운로드용 프로그램 >
프로그램 다운로드 후 실행해보로독 하겠습니다.
다른 PC용 설치 미디어 만들기를 선택합니다.
이 PC에 권장 옵션 사용 또는 한국어 / Windows 10 / 64비트를 선택 하여 봅시다.
ISO 파일을 선택합니다.
다음을 선택 한 뒤 저장하고픈 경로에 저장합니다. 용량이 작지 않기에 충분히 기다려야 합니다.
다운이 완료되면 아래와 마침 합니다.
VMWare-Plyaer를 다운 받아 봅시다. 공식사이트는 다운로드 링크가 제대로 안된 경우가 있더라구요! 아래 경로에서 받아보도록 합시다. 압축해제 프로그램을 이용하여 압축을 해제 한 뒤 설치를 합니다. 설치중에 특별히 선택할 옵션은 없기에 계속 Next하여 설치를 진행합니다.

VMware Plyaer를 실행 한 뒤 [Create a New Virtual Machine]를 선택합니다.
Installer disk image file (iso) 선택 후 다운로드가 완료된 Windows.iso 파일을 선택합니다. VMware 저장 경로를 설정합니다. 윈도우가 설치될 저장공간으로 충분히 용량이 확보된 곳에 설치하도록 합시다.
이후 저장매체의 용량을 설정하고, 저장매체 파일을 어떻게 할 것인지 설정합니다. - Storage Virtual disk as a single file : 저장매체 파일(이미지)를 하나의 파일로 저장 - Split virtual disk into multiple files: 저장매체 파일을 여러개의 파일로 분할하여 저장
이후 Customize Hardware 를 선택한 뒤 Memory를 가능하면 최소 4096으로 설정합시다.(높을수록 좋습니다.) 다만 사용하는 PC의 램이 4096이 되지 않는다면 2048이상으로 설정합시다.
[Power on this virtual machine after creation]이 체크 후 Finish 선택 시 가상머신의 윈도우가 동작을 하게 됩니다. 우선은 체크를 해제하고 진행합시다.
[Play virutal machine]을 선택하면 가상머신이 시작되며, windows ISO(설치용 프로그램)이 연결된 상태로 켜지게 됩니다. Edit virtual Machine Settings에서도 메모리 설정 등을 할 수 있으니 이후에 필요 시 활용합니다.
시작하고 아래와 같은 화면이 나올 경우 VM Player를 선택 한 뒤 아무키를 누르면 윈도우 설치 화면으로 넘어가게 됩니다. 화면 밖으로 마우스를 빼고자 할 경우 [Ctrl + Alt]를 동시에 누르면 됩니다.
만약 아래와 같이 Time out가 표시될 경우 Restart Guest를 눌러 재시작 하고 위의 화면이 나오면 아무키나 눌러서 설치 화면으로 넘어가면 됩니다.
윈도우 설치화면으로 넘어가면 아래와 같이 표시가 됩니다.
다음을 눌러 진행합니다.
제품 키가 없음 으로 선택한 뒤 설치하고자 하는 윈도우를 선택하고 다음으로 진행합니다.
동의함 선택 후 [사용자 지정 Windows만 설치]를 선택합니다.
드라이브 선택 후 새로 만들기를 통해 원하는 용량의 공간을 만들 수 있습니다.(파티션 구분) 그리고 남는 용량은 파티션 구성 후 포맷을 통해 사용할 수 있고 추후에 윈도우에서도 원하는 방식으로 활용이 가능합니다. 다만 윈도우 설치를 위해서는 최소 20GB는 설정하여야 하니 적용을 눌러 진행 합니다.
윈도우 설치가 진행됩니다.
설치 중 마이크로소프트 계정 연결이 아닌 단순 로컬 계정을 만들기 위해서는 오프라인 계정을 선택 한 뒤 - 제한된 환경을 설정하여야 합니다.
이후 계정을 만들고 비밀번호를 설정합니다. (비밀번호가 없을 경우 공백으로 다음으로 진행합니다.)
윈도우가 설치가 되면 우리가 일반적으로 사용하고, 여러가지 흔적들을 남기고 분석 연습에 활용할 수 있습니다.
가상머신에서 시스템 종료 후 다시 VM Player를 실행한 뒤 Edit virtual machine Settings - Options 에서 Working Directory 경로를 확인해보도록 하겠습니다.
해당 폴더로 이동하면 가상머신 설정파일과 저장매체 파일들을 확인할 수 있습니다. 이를 이용하여 포렌식 분석에도 활용해볼 수 있습니다.

2. 가상머신의 저장매체

실습용 Windows 10 설치 가상머신 다운로드 [참고]에서 만든 것과 동일한 이미지 입니다. 직접 만든 분들은 다운 받지 않아도 됩니다. > (5.47GB) -> 압축해제 시 11 GB

가상머신을 생성 후 Windows 설치하거나 또는 위에서 다운 받은 파일을 압축 해제 후에 해당 폴더를 살펴보겠습니다.
- .vmx : VMware player에서 불러올 수 있는 파일이며, 여러 설정 정보가 있습니다.
- .vmdk : 가상 머신의 저장매체 파일로 실제로 포렌식 분석 대상이 되는 저장매체 파일 -> 이미지 파일로 보면 됩니다.
FTK Imager에서 vmdk 파일을 열어보면 기존에 분석하던 것처럼 이미지 분석이 가능합니다. 즉, vmdk 또한 이미지 파일 형태이며, FTK Imager가 이를 분석해주고 있는 것 입니다.
참고로 vmdk는 당연하게도 raw 이미지가 아닙니다. 우리가 생성할 때 20GB로 했는데 이미지 파일 용량을 보면 11GB정도 됩니다. 즉, 압축이 되어 있는 것입니다. 파일시스템이 훼손된 vmdk라면 raw 이미지로 추출 후 복구 해야 합니다.
위에서 우리는 vmdk가 하나의 파일에 저장된 것을 확인하였으나 실제 시험에서는 그림과 같이 vmdk가 여러개로 구성되어 있을 수 있습니다.
이 경우에도 기존과 동일하게 vmdk 파일을 열면 됩니다. 다만, 001~ 등의 숫자가 없는 기본 vmdk 파일을 열게 되면 FTK Imager가 분석을 해주게 됩니다.
그렇다면 EnCase도 동일하게 이미지를 분석해주는지 확인해보도록 하겠습니다. 새로 케이스를 생성 하거나 Home 메뉴에서 Add Evidence에서 Evidence File을 선택하여 분석 대상을 추가합니다. VMDK 가상머신 이미지 파일의 경우 Raw 이미지가 아니며, 사실상 E01과 같은 파일시스템을 저장하는 파일 구조로 되어 있으며 EnCase에서 vmdk 분석을 지원하기 때문에 바로 추가가 가능합니다.
이미지 추가 시 만약 아래와 같이 Auto Evidence Processing으로 자동으로 프로세스 할지 물어보면 취소를 선택합니다. (프로세스 옵션에 대해 정확히 이해가 되었을 때는 바로 진행하여도 좋으나 처음 접할 때는 취소합시다.)
기존과 동일하게 파일시스템 구조 등을 분석할 수 있으며, Process, 시그니처 분석, 아티팩트 분석 등을 진행할 수 있습니다.

3. 가상머신 암호해제

기출문제 유형 중에서 가상머신에 암호를 걸고, 이를 해제하는 문제가 있었던 것으로 파악됩니다. 예를 들어 usb안에 2개의 이미지 파일 있는데 하나를 분석해서 가상머신의 암호를 찾고, 이를 이용하여 가상머신의 암호를 해제하여야 정상 분석 가능한 문제 유형으로 판단됩니다.
사실 이러한 유형의 문제는 거의 출제가 되지 않았었고, 한번 출제된 것으로 알고 있는데 한번 정도만 실습해봐도 충분히 대응이 가능할 것이기 때문에 살펴보고 가도록 하겠습니다.

먼저 가상머신을 실행 한 뒤 위에서 실습했던 윈도우 가상머신을 열어보도록 하겠습니다.
암호화를 해보도록 하겠습니다. 먼저 Edit virtual machine settings에서 Options - Access Control에서 Encrypt를 선택합니다. - All the files (.vmdk, .vmx. etc) for this virtual machine are encrypted 선택 - 암호 설정 - Remember the password on this machine in Credential Manger를 체크 해제 합니다. -> 체크하게 되면 암호가 자동 저장됨으로, 실제 시험과 동일한 연습을 위해 체크 해제합니다.
암호화가 완료가 되면 아래와 같이 암호변경, 암호해제 등을 선택할 수 있습니다.
암호화가 되어 있다면 어떻게 되는지 한번 살펴보겠습니다. 먼저 기존에 리스트에 있는 것을 제거하고 다시 불러오도록 하겠습니다. 다시 불러올 경우 아래와 같이 우측 하단에 암호를 입력하라고 나오게 됩니다.
이때 vmdk를 한번 FTK Imager로 살펴보겠습니다. 아래와 같이 vmdk 를 열어보면 파일구조가 암호화되어서 확인이 불가능합니다.
실제 시험에서도 vmdk를 FTK Imager로 열었을 때 암호화가 되어 있을 경우 암호를 해제해야 합니다.
이미 암호화를 직접 해보았기 때문에 반대로 하면 암호가 해제될 것입니다. 시험에서는 다른 이미지 등을 분석하다 보면 암호를 발견하게 됩니다. 이러한 암호를 이용해서 가상머신의 비밀번호를 해제하여 문제를 풀어가게 됩니다.
암호를 입력 한 뒤에 Edit viurtual manchine settings - Options - Access Control 에서 Remove Encryption을 선택하여 암호 설정을 해제하여 봅시다. (암호 해제 할 때는 FTK와 같은 프로그램으로 VMDK를 열었을 경우 모두 종료하고 해제합시다.)
다시 FTK Imager에서 vmdk를 열어보면 파일시스템 구조를 확인 할 수 있습니다.

4. 정리

가상머신 부분은 시험에 입장에서만 보면 아래 부분만 이해하면 됩니다. 1. VMDK 파일을 FTK Imager로 열어야 한다. 2. 파일시스템이 훼손된 경우 raw 이미지로 추출한 뒤 복구등을 시도해야 한다. 3. 암호화가 된 경우 VMware Player를 이용하여 암호 해제를 해야 한다.
최근 시험에서 출제된 유형으로 알고 있으며, VMDK 이미지의 경우 빈번하게 출제된 문제 이미지 형태이니 잘 이해하고 진행해야 합니다.

실제 시험에서 처음 VMDK를 접해서 더 이상 진행하지 못하는 경우 시험장에서 분석을 아무것도 못한 경우가 상당히 많다고 합니다. VMDK가 분석 대상 이미지라는 것을 모르는 경우 절대 합격 점수가 안나오기 때문에 꼭 이해를 잘 하고 넘어가야 합니다.

가상머신에서 저장매체를 암호화 하는 경우는 거의 없었으나 최근에 출제된 것으로 알고 있습니다. 한번 정도만 연습해두면 충분히 대응을 할 수 있을 것입니다.