1. 문제 저장매체 만들고 풀어보기

Previous2. 실력 다지기 Next기초 연습문제1-분석해보기(무료도구)

Last updated 5 months ago

1. 문제 저장매체 만들고 풀어보기

기본 개념 연습용

1. 문제 저장매체 만들어 보기

문제 파일을 저장하고 있는 저장매체를 직접 만들어 보겠습니다.
여기서는 정말 가볍게 분석 대상 파일을 저장하는 저장매체를 만들어 보고 이후에 나름의 시나리오를 가지고 가상머신 등을 이용하여 실제 나올만한 문제 만들기도 도전 해보도록 하겠습니다. 처음이니 가볍게 한번 실습해보도록 하겠습니다.
아래 파일을 다운 받은 뒤, 간단히 문제를 직접 제작해서 분석 도구를 이용하여 풀어봅시다.
개인 USB를 사용하는 것을 추천합니다. (가능하면 용량이 적은 것으로)

개인 USB가 없거나, 용량이 매우 큰 USB만 있을 경우 윈도우의 가상디스크를 만들어서 활용합니다. 개인 USB가 있을 경우 가상디스크를 만들지 말고 진행해보도록 합시다.

먼저 가상디스크를 만들어 보겠습니다. (개인 USB 사용 시 이 부분은 무시합니다.)
자동으로 연결된 가상디스크를 우클릭 후 디스크 초기화 - MBR을 선택합니다.
데이터 영역 우클릭 후 [새 단숨 볼륨]을 선택하여 다음 다음을 진행합니다. 파일시스템 종류를 정할 수 있을 때, 시험에서 자주 출제되고 있는 NTFS로 설정하여 봅시다.
새로 추가된 가상디스크를 선택 후 포맷을 해보도록 하겠습니다. 개인 USB로 연습해보고 싶으신 분은 USB를 연결합니다. 여기서 파일시스템 종류를 NTFS, FAT32 등으로 설정할 수 있습니다. 용량이 큰 USB의 경우 exFAT 등으로 연습해도 되나, 처음에는 NTFS로 연습해보는 것을 추천합니다. 볼륨레이블도 알아 보기 쉽도록 설정하여 봅시다. *주의사항으로 개인이 사용하는 디스크를 포맷할 경우 저장한 데이터가 날라 갈 수 있으니 꼭 내용, 용량을 확인하여 본인이 설정한 가상디스크 또는 USB가 맞는 지 확인 후 포맷 하도록 합시다.
위에서 다운로드한 "사건1.zip"를 압축해제 후 사건1 폴더 안에 있는 파일을 복사한 뒤
가상디스크 또는USB 저장매체에 저장합니다.
이제 파일시스템을 훼손해보도록 하겠습니다. 먼저 FTK Imager를 이용하여 가상디스크/USB를 Physical Drive로 열어서 파일시스템 시작 섹터번호를 알아봅시다.
파티션1을 선택하여 시작 섹터번호를 확인하여 봅시다. FTK Imager에서 View -Properties를 선택하면 정보를 확인할 수 있으며 Partition 1을 선택하면 시작 섹터 번호가 128임을 알 수 있습니다.
HxD를 이용하여 파일시스템을 훼손하여 보겠습니다. 먼저 HxD를 열 때 관리자 계정으로 실행합니다. 바로가기 우클릭 또는 윈도우키 입력 후 HxD를 검색하여 [관리자 권한으로 실행] 로 실행합니다.
이 후 디스크 열기에서 읽기전용으로 열기 체크 해제 후 가상디스크 또는 USB를 선택합니다. 잘못 선택하면 저장매체를 쓸 수 없으니 정확히 선택해야 합니다.
0번 섹터(MBR)에서 파티션 엔트리 중에서 1번 파티션 정보가 담긴 영역 중에 파티션 시작위치의 4바이트 값을 계산 하면 해당 파이션의 시작 섹터 번호를 확인할 수 있습니다. (이미 우리는 위에서 FTK Imager에 계산 해준 값을 알고 있으며 이 영역을 계산해서 보여준 것입니다.)
그렇다면 128번 섹터로 이동 한 뒤 훼손해보도록 하겠습니다. 128번 섹터를 전부 00 으로 덮어 쓴 뒤 저장해보도록 하겠습니다.
가상 디스크 또는 USB 저장공간을 선택하면 정상적으로 파일 접근이 되지 않으며, 포맷해야 한다는 문구가 나옵니다.
가상디스크 /USB 연결을 해제합니다.
처음 가상디스크를 생성 하면 아래와 같이 vhd 파일이 생성되며, 이 파일을 가상디스크로 연결하면 USB를 연결한 것처럼 가상디스크를 연결하게 됩니다.

2. 문제 풀어보기

시나리오 및 문제는 파일시스템 복구 후 최상위 폴더(root)에서 "사건1 시나리오.pdf"를 추출한 뒤 살펴보면 확인할 수 있습니다.
다만 이렇게 직접 만든 문제의 경우 생성/수정/접근 시간의 경우 우리가 복사, 붙여넣기를 통해서 만들었기 때문에 정확하지 않습니다. 따라서 이번 문제 해결에 있어서 시간정보는 정확하지 않음을 감안하여 살펴보고, 단순히 주요 파일을 찾는 것에 목표를 가지고 연습하시길 바랍니다.
추가로 여러분이 직접 만든 가상디스크/USB의 용량, 파일시스템 크기, 클러스터 크기 윈도우 버전 등에 파티션1번 시작 섹터 번호 등이 바뀔수도 있습니다. 도구들을 믿고 분석에 진행하면 됩니다. 만약 포스팅한 것과 동일한 분석과정을 테스트해보고자 한다면 분석해보기 자료에서 이미지 파일을 다운 받아서 동일하게 분석하시면 됩니다.

Previous2. 실력 다지기 Next기초 연습문제1-분석해보기(무료도구)

Last updated 5 months ago

기본 개념 연습용

1. 문제 저장매체 만들어 보기

문제 파일을 저장하고 있는 저장매체를 직접 만들어 보겠습니다.
여기서는 정말 가볍게 분석 대상 파일을 저장하는 저장매체를 만들어 보고 이후에 나름의 시나리오를 가지고 가상머신 등을 이용하여 실제 나올만한 문제 만들기도 도전 해보도록 하겠습니다. 처음이니 가볍게 한번 실습해보도록 하겠습니다.
아래 파일을 다운 받은 뒤, 간단히 문제를 직접 제작해서 분석 도구를 이용하여 풀어봅시다.
개인 USB를 사용하는 것을 추천합니다. (가능하면 용량이 적은 것으로)

개인 USB가 없거나, 용량이 매우 큰 USB만 있을 경우 윈도우의 가상디스크를 만들어서 활용합니다. 개인 USB가 있을 경우 가상디스크를 만들지 말고 진행해보도록 합시다.

먼저 가상디스크를 만들어 보겠습니다. (개인 USB 사용 시 이 부분은 무시합니다.)
자동으로 연결된 가상디스크를 우클릭 후 디스크 초기화 - MBR을 선택합니다.
데이터 영역 우클릭 후 [새 단숨 볼륨]을 선택하여 다음 다음을 진행합니다. 파일시스템 종류를 정할 수 있을 때, 시험에서 자주 출제되고 있는 NTFS로 설정하여 봅시다.
새로 추가된 가상디스크를 선택 후 포맷을 해보도록 하겠습니다. 개인 USB로 연습해보고 싶으신 분은 USB를 연결합니다. 여기서 파일시스템 종류를 NTFS, FAT32 등으로 설정할 수 있습니다. 용량이 큰 USB의 경우 exFAT 등으로 연습해도 되나, 처음에는 NTFS로 연습해보는 것을 추천합니다. 볼륨레이블도 알아 보기 쉽도록 설정하여 봅시다. *주의사항으로 개인이 사용하는 디스크를 포맷할 경우 저장한 데이터가 날라 갈 수 있으니 꼭 내용, 용량을 확인하여 본인이 설정한 가상디스크 또는 USB가 맞는 지 확인 후 포맷 하도록 합시다.
위에서 다운로드한 "사건1.zip"를 압축해제 후 사건1 폴더 안에 있는 파일을 복사한 뒤
가상디스크 또는USB 저장매체에 저장합니다.
이제 파일시스템을 훼손해보도록 하겠습니다. 먼저 FTK Imager를 이용하여 가상디스크/USB를 Physical Drive로 열어서 파일시스템 시작 섹터번호를 알아봅시다.
파티션1을 선택하여 시작 섹터번호를 확인하여 봅시다. FTK Imager에서 View -Properties를 선택하면 정보를 확인할 수 있으며 Partition 1을 선택하면 시작 섹터 번호가 128임을 알 수 있습니다.
HxD를 이용하여 파일시스템을 훼손하여 보겠습니다. 먼저 HxD를 열 때 관리자 계정으로 실행합니다. 바로가기 우클릭 또는 윈도우키 입력 후 HxD를 검색하여 [관리자 권한으로 실행] 로 실행합니다.
이 후 디스크 열기에서 읽기전용으로 열기 체크 해제 후 가상디스크 또는 USB를 선택합니다. 잘못 선택하면 저장매체를 쓸 수 없으니 정확히 선택해야 합니다.
0번 섹터(MBR)에서 파티션 엔트리 중에서 1번 파티션 정보가 담긴 영역 중에 파티션 시작위치의 4바이트 값을 계산 하면 해당 파이션의 시작 섹터 번호를 확인할 수 있습니다. (이미 우리는 위에서 FTK Imager에 계산 해준 값을 알고 있으며 이 영역을 계산해서 보여준 것입니다.)
그렇다면 128번 섹터로 이동 한 뒤 훼손해보도록 하겠습니다. 128번 섹터를 전부 00 으로 덮어 쓴 뒤 저장해보도록 하겠습니다.
가상 디스크 또는 USB 저장공간을 선택하면 정상적으로 파일 접근이 되지 않으며, 포맷해야 한다는 문구가 나옵니다.
가상디스크 /USB 연결을 해제합니다.
처음 가상디스크를 생성 하면 아래와 같이 vhd 파일이 생성되며, 이 파일을 가상디스크로 연결하면 USB를 연결한 것처럼 가상디스크를 연결하게 됩니다.

2. 문제 풀어보기

시나리오 및 문제는 파일시스템 복구 후 최상위 폴더(root)에서 "사건1 시나리오.pdf"를 추출한 뒤 살펴보면 확인할 수 있습니다.
다만 이렇게 직접 만든 문제의 경우 생성/수정/접근 시간의 경우 우리가 복사, 붙여넣기를 통해서 만들었기 때문에 정확하지 않습니다. 따라서 이번 문제 해결에 있어서 시간정보는 정확하지 않음을 감안하여 살펴보고, 단순히 주요 파일을 찾는 것에 목표를 가지고 연습하시길 바랍니다.
추가로 여러분이 직접 만든 가상디스크/USB의 용량, 파일시스템 크기, 클러스터 크기 윈도우 버전 등에 파티션1번 시작 섹터 번호 등이 바뀔수도 있습니다. 도구들을 믿고 분석에 진행하면 됩니다. 만약 포스팅한 것과 동일한 분석과정을 테스트해보고자 한다면 분석해보기 자료에서 이미지 파일을 다운 받아서 동일하게 분석하시면 됩니다.