기초 연습문제1-분석해보기(무료도구)
Last updated
Last updated
이번 연습에서는 기초 분석문제 조금, 시나리오 관련 분석 조금만 맛보는 걸로 연습해보겠습니다.
실제 시험보다는 많이 압축된 형태입니다.
2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)에서 진행한 것과 동일한 방식으로 진행
먼저 사본 이미지를 획득해보겠습니다. 그전에 먼저 쓰기 방지를 진행합니다. 레지스트리를 이용하여 쓰기방지를 진행 해보도록 하겠습니다. 레지스트리 편집기를 실행한 뒤 아래 경로에 키를 생성합니다. - 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control - StorageDevicePolicies 생성 (대소문자 정확하게 작성)
WriteProtect 값을 생성한 뒤 값 데이터를 1로 설정 합니다. (실제 시험에서는 이미지 획득 후 이 값을 다시 0으로 설정합니다.)
정상적으로 설정이 되었다면 USB 연결 후 해당 USB에 파일을 저장하려고 하면 아래와 같이 알람이 발생합니다. (실제 시험에서는 테스트 해보고자 할 경우 증거제출용 USB에다가 합니다. 절대로 분석대상 USB에 테스트 하면 안됩니다. )
다만 아쉽게도 가상디스크의 경우 레지스트리를 설정하여도 쓰기방지가 되지 않습니다. 연습에서만 해보시고, 실제 개인 USB로 테스트 해보시길 바랍니다.
이제 문제 저장매체(가상디스크/USB)를 연결해보도록 하겠습니다. (USB로 연결한 경우에는 이 내용은 무시해도 됩니다.) 여기서 설명하는 것과 동일한 가상디스크로 연습해보고자 하는 경우 아래 링크에서 다운 받아서 활용하시면 됩니다. > (60MB) USB로 문제 저장매체를 만든 경우는 바로 연결하면 쓰기방지 상태로 연결이 됩니다. 가상디스크로 연결 할 경우 디스크 관리(Win+X - 디스크 관리)에서 동작 - VHD 연결에서 읽기 전용을 체크 한 뒤 가상디스크 파일을 선택합니다.
가상디스크가 정상적으로 연결 된 경우 아래와 같이 확인할 수 있습니다.
가상디스크 또는 USB를 연결한 경우 아래와 같이 포맷이 필요하다고 하는 것이 표시된다면 정상 인식 된 것입니다.
이제부터 사본 이미지 획득을 진행 합니다.
파티션1을 살펴보니 시작 섹터는 비어 있으나 마지막 섹터로 가보니 NTFS의 VBR 복사본이 위치합니다. 즉, 파일시스템이 훼손되어 있습니다. 따라서 RAW로 이미지 획득을 진행합니다.
물리 드라이브 최상위 우클릭 - Export Disk Image (꼭 최상위를 선택해야 저장 매체의 전체 사본을 획득할 수 있습니다. 파티션만 고를 경우 파티션만 획득됩니다.)
또는 File - Create Disk Image - Physical Drive 를 선택합니다. (완전히 동일한 기능으로 원하는 걸로 하시면 됩니다.)
Add 를 이용하여 획득한 이미지 파일 종류, 저장할 경로, 분할 사이즈를 선택합니다. 분할사이즈(Image Fragment Size)는 0으로 설정합니다. -> raw 이미지 파일이 1개로 나오며 0번부터 마지막 섹터까지 연결되어 복구가 용이합니다. 이후 Start 를 선택하여 이미지 획득을 시작합니다.
raw 이미지 획득이 완료되면 아래와 같이 .001 파일이 생성되며, .txt로 로그 파일이 생성됩니다. 이 로그 파일에서 실제 시험에서 답안 작성 또는 분석 보고서에 활용할 원본 저장매체의 해시값, 드라이브 시리얼 넘버 등이 나옵니다. 아쉽게도 가상디스크의 경우 시리얼 넘버가 없습니다. 다만 USB로 획득한 경우 USB의 시리얼 넘버를 확인할 수 있습니다.
로그가 아닌 FTK Imager에서 확인해보고자 하는 경우 저장매체를 물리적으로 불러온 상태에서 최상위를 선택 후 View - Properties에서 확인이 가능합니다.
우선은 용량이 작은 경우에는 매우 빠르게 수집이 되지만, 실제 USB로 사본 이미지 획득하거나, 실제 시험에서는 빠르면 10분 정도에서 30분 정도까지 오래 걸릴 수 있습니다. 해야할 것은 하고도 시간이 남고, 파일시스템 복구가 필요한 것을 알았을 경우 파일시스템 복구에 필요한 섹터들을 미리 계산해보도록 하겠습니다.
먼저 파티션 1번 위치로 이동하였는데 섹터가 비어 있습니다. 그리고 바로 다음 섹터에 BOOTMGR~이 보입니다.
그리고 마지막 섹터로 이동 했더니 NTFS의 VBR 복사본이 존재 합니다. 만약 마지막 섹터에 갔는데 아무 것도 없을 경우 FAT32의 파일시스템일 수 있는 것입니다. 사실 우리는 이미 문제 만들 때 NTFS로 포맷하였기 때문에 알지만, 실제 시험에서는 무엇으로 포맷했는지 알 수 없습니다. 따라서 어떤 파일시스템이 훼손되어 있는지 연습을 통해 빠르게 확인할 수 있어야 합니다.
이제 복사본 위치, 파티션 시작위치를 찾았습니다. 복구에 필요한 섹터 번호를 확인해보면 아래와 같습니다. (개인 USB로 하였거나, 용량을 다르게 했을 경우 섹터 번호는 다를 수 있습니다.) - 복사본 VBR 섹터번호 : 403,583 - 파티션 1 시작 섹터번호 : 128
HxD를 이용하여 획득한 Raw 이미지를 불러온 뒤 파일시스템 복사본 VBR 섹터를 파티션 1 시작 섹터에 덮어 쓰도록 합시다. 403,583 -> 128 먼저 HxD를 이용하여 디스크 이미지 열기(도구 - 디스크 이미지 열기)를 통해 Raw 이미지를 불러 온 뒤 403,583로 이동하여 이 섹터 전체를 복사합니다. hex 부분 위에서 복사해야 hex 값이 복사 됩니다.
파티션의 시작 섹터인 128번 섹터 가장 첫 부분에 우클릭 - [붙여넣기 쓰기] 를 한 뒤 저장합니다. 삽입하거나, 1바이트라도 밀려서 저장할 경우 정상적으로 복구가 되지 않으니 정확하게 복사 붙여넣기 하여 덮어써야 합니다.
Add Evidence Item 선택 후 Image File 에서 복구한 raw이미지 파일을 선택합니다.
정상적으로 파일시스템이 복구 되어서 아래와 같이 파일시스템 구조를 정상적으로 확인할 수 있으면 복구가 된 것 입니다. 이 이미지를 이용하여 Autospy 등으로 분석을 진행합니다.
우선 파일시스템 복구는 끝났으니 포렌식 도구에 추가하여 분석을 해보도록 하겠습니다. Autospy 를 실행 한 뒤 Case를 생성하고 복구한 Raw 이미지를 추가합니다.
Ingest(프로세싱)을 진행해보도록 하겠습니다. 1차 프로세싱으로 빠르게 끝나는 옵션만 선택하여 진행합니다.
우선 시나리오 파일을 추출한 뒤 시나리오를 읽어보고 Autopsy 또는 FTK Imager를 통해 사건 "사건1 시나리오.pdf" 파일을 추출 하거나 도구를 통해 내용 확인을 해봅시다. 대략적으로 살펴보면, 휴대폰 제조 관련 자료가 유출된 것으로 보입니다.
전반적으로 폴더 구조를 살펴봅니다. 파일을 하나하나 살펴보다 보면 의심스런 파일도 발견되기도 할 것이지만, 우선은 구조에 익숙해질 필요가 있습니다.
시나리오, 주관식 문제와 관련된 파일을 먼저 찾아보도록 합시다.
시나리오 관련 파일 중 주관식 답안 작성에 요구하는 것은 아래와 같습니다.
파일명
파일 경로
해시값(MD5, SHA1)
파일의 시간정보(MAC)
시작 섹터 번호
데이터 클러스터 번호
유출과정에 대해 관련된 모든 내용을 서술 하시오.
이번 연습에서는 완벽하게 유출 과정을 증명하는 것은 사실 어려울 것 입니다. 당연하게도 파일질라라는 FTP 서버를 설치한 윈도우 관련 아티팩트 관련도 없이 오로지 파일만 있기 때문입니다.
파일들이 저장된 것을 살펴보면 몇몇 파일을 고의로 확장자를 변경하였으며, 이 파일들이 FTP 서버를 통해 외부에서 다운로드 한 흔적으로 보이는 로그를 함께 발견한 것 입니다.
