2018 실전 연습 - 분석해보기(EnCase)

분석 연습에 필요한 저장매체 (가상디스크, E01 이미지) 파일의 경우 이전 포스팅에서 다운 받을 수 있습니다.

-> 2018 실전 연습 문제

1. 쓰기방지 및 사본 이미지 획득

• 1. EnCase의 FastBloc를 이용한 쓰기방지 설정 에서 진행한 것과 동일한 방식으로 진행

1-1) 쓰기방지

1. 가상디스크로 연습에는 큰 의미는 없으나 연습을 위해서 한번 옵션을 사용해보도록 하겠습니다. EnCase의 Tools - FastBlock SE...을 선택 하여봅시다.

   
2. 먼저 Write Protected, 또는 Write Blocked 를 선택 한 뒤 게이지가 움직이고 있는 상태에서 USB를 연결하면 Write Protected, 또는 Write Blocked 에 표시가 되면서 쓰기방지가 설정됩니다.

   
3. 이제 문제 저장매체(가상디스크)를 연결해보도록 하겠습니다. (실제 시험에서는 USB를 연결하는 것과 동일한 것 입니다.) 가상디스크로 연결 할 경우 디스크 관리(Win+X - 디스크 관리)에서 동작 - VHD 연결에서 읽기 전용을 체크 한 뒤 가상디스크 파일을 선택합니다.

   

   가상디스크가 정상적으로 연결 된 경우 아래와 같이 확인할 수 있습니다.

4. 가상디스크 또는 USB를 연결한 경우 아래와 같이 포맷이 필요하다고 하는 것이 표시된다면 정상 인식 된 것입니다.

   

1-2) 사본 이미지 획득

1. 이제부터 사본 이미지 획득을 진행 합니다.

   

   파티션1을 살펴보니 시작 섹터는 비어 있으나 마지막 섹터로 가보니 NTFS의 VBR 복사본이 위치합니다. 즉, 파일시스템이 훼손되어 있습니다. 따라서 RAW 로 이미지 획득을 진행합니다. 추가적으로 파티션 시작 섹터가 128, VBR 복사본이 1,632,383 섹터에 있는 것을 알 수 있습니다.

   
2. 물리 드라이브 최상위 우클릭 - Export Disk Image (꼭 최상위를 선택해야 저장매체의 전체 사본을 획득할 수 있습니다. 파티션만 고를 경우 파티션만 획득됩니다.)

   

   또는 File - Create Disk Image - Physical Drive 를 선택합니다. (완전히 동일한 기능으로 원하는 걸로 하시면 됩니다.)

   
3. Add 를 이용하여 획득한 이미지 파일 종류, 저장할 경로, 분할 사이즈를 선택합니다.

   분할 사이즈(Image Fragment Size)는 0으로 설정합니다. -> raw 이미지 파일이 1개로 나오며 0번부터 마지막 섹터까지 연결되어 복구가 용이합니다.

   
4. raw 이미지 획득이 완료되면 아래와 같이 .001 파일이 생성되며, .txt로 로그 파일이 생성됩니다. 이 로그 파일에서 실제 시험에서 답안 작성 또는 분석 보고서에 활용할 원본 저장매체의 해시값, 드라이브 시리얼 넘버 등이 나옵니다. 아쉽게도 가상디스크의 경우 시리얼 넘버가 없습니다.

   

   다만 실제 시험에서 USB로 획득한 경우 USB의 시리얼 넘버를 확인할 수 있습니다. 답안 작성 연습을 위해 아래의 정보가 log에 포함되어 있다고 생각하고 진행합시다. [Physical Drive Information] - Drive Model: SanDisk Cruzer Blade USB Device - Drive Serial Number: 4C530001040725104371 - Drive Interface Type: USB - Removable drive: True - Source data size: 800 MB - Sector count: 1638400

   

2. 분석 준비

2-1) 파일시스템 복구

1. 파일시스템 복구에 필요한 것은 위에서 이미 확인 하였으나 다시 한번 살펴보겠습니다. 먼저 파티션 1번 위치로 이동하였는데 섹터의 앞부분이 훼손되어 있습니다. 사실 NTFS, FAT32 파일시스템에서 앞 부분이 가장 중요한 값이 저장됩니다. 그리고 바로 다음 섹터에 BOOTMGR~이 보입니다. 보통 이 경우는 NTFS 파일시스템에 해당합니다.

   

   NTFS 파일시스템의 VBR 복사본은 파티션 마지막 섹터에 위치합니다.

2. 파티션의 가장 밑으로 이동 후 복구에 필요한 섹터번호도 확인하였습니다.

   파티션 시작 섹터 128, VBR 복사본이 1,632,383 즉, 1,632,383 섹터를 128번 섹터에 덮어써서 복구할 수 있습니다.

   
3. 파일시스템 복구는 HxD를 이용하여 Raw 이미지를 복구합니다. 디스크 이미지 열기로 Raw 이미지를 열고 VBR 복사본이 위치한 섹터로 이동 후 한 섹터를 복사합니다.

   

   128번이 파티션 시작위치며 정상 VBR이 위치해야 합니다. 이 섹터에 가장 앞부분에서 우클릭 -[붙여넣기 쓰기] 하여 덮어씁니다. * 삽입을 하게 되면 1섹터가 전체적으로 밀려나기 때문에 삽입하면 안됩니다.

   

4. FTK Imager를 이용하여 복원한 이미지를 불러오면 정상적으로 파일 구조가 확인되면 복구는 정상적으로 진행한 것입니다.

   

2-2) 분석 이미지 추가하기

1. EnCase에서 케이스 생성 후 복구한 Raw 이미지를 추가합니다. Add Evidence - Raw Image를 선택 한 뒤 복구한 파일시스템을 선택합니다.

   
2. 이 후 1차 프로세싱(Processor)을 진행합니다. 비교적 빨리 끝나며 기존에 주로 출제되는 문제 유형을 해결하는데 도움이 되는 프로세스 옵션을 선택 후 진행합니다. - File Signature analysis - Hash Anlysis - Find email - Find Internet Artifacts - System info Parser - Windows Event Log Parser - Windows Artifact Parser

   
3. View - Processor Manager, 우측 하단에 진행 상황을 확인할 수 있습니다.

   

4. 실제 시험에서는 이 동안 해결 가능한 문제를 해결하거나, 답안 작성 준비를 작업을 진행합니다. 프로세싱이 완료되면 Evidence 의 우클릭 또는 Refresh를 클릭하여 프로세싱 처리 내역을 적용합니다.

   

   또한 View - Artifaacts 에서 아티팩트 분석결과를 확인할 수 있습니다.

   

3. 분석 및 문제 해결

3-1) 저장매체 관련

1. USB 증거 사본을 생성하는 과정과 결과를 각 단계별로 기술하시오.(증거사본은 첨부하지 말 것.)

   1. 위에서 진행한 쓰기 방지부터 사본 이미지 획득 과정 중 주요 부분을 답안 작성에 활용합니다.

   2. 답안 작성 시 획득한 사본 이미지의 해시값, 저장매체 관련 정보를 포함합니다.

2. 파일시스템 복구 후 증거사본의 매체 정보 중 아래 항목을 찾아 기술하시오. - USB 시리얼 넘버

   - 파일 시스템 종류 - 총 섹터 수 - 전체용량 - 가용용량 - 볼륨 시리얼 번호 - 단위 클러스터 크기

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

1. USB 시리얼 넘버 저장매체의 시리얼 넘버로 USB에서 처음 사본이미지 획득 후 확인할 수 있습니다. 다만 연습에 쓰는 가상디스크의 경우 Serial Number가 없기 때문에 위에서 표시해둔 로그가 실제 시험에서 획득한 로그라고 생각하고 진행해보겠습니다. USB 시리얼 넘버: 4C530001040725104371

   

2. 파일 시스템 종류 EnCase에서 파일시스템이 위치한 영역을 클릭 한 뒤 [Report]에서 Volume 정보를 확인하면파일시스템이 NTFS라고 표시되어 있습니다. > 파일시스템 종류: NTFS

   

   기본적으로 $MFT, $LogFile 메타데이터 파일이 있을 경우 NTFS 파일시스템 입니다.

   
3. 총 섹터 수

   이 문제의 경우 문제의 의도를 정확히 파악해봐야 합니다. 저장매체의 전체 섹터 수인가? 파일시스템의 전체 섹터 수인가? 문제를 읽어봤을 때 둘다 해당 될 수 있다면 둘다 답안작성 합니다. 다만 어떤 부분의 전체 섹터 수인지 정확히 명시합니다.

   1. 저장매체의 총 섹터 수인가?

      저장 매체의 총 섹터 수는 정말로 저장매체의 0번 섹터 부터 마지막 섹터까지의 총 섹터 수가 될 것입니다. -> 저장 매체 총 섹터 수 : 1,638,400 섹터

      

   2. 파일시스템의 총 섹터 수 인가? Autopsy, FTK Imager에서 복구한 파일시스템 파티션 영역을 보면 전체 섹터 수가 표시 됩니다. > 파일시스템의 총 섹터 수 : 1,632,256 섹터

      
   3. 이 값은NTFS의 VBR의Total Sectors 부분을 계산한 값입니다.

      

      ToTal Sectors 를 살펴보면 FF E7 18 00 00 00 00 00 (리틀엔디안) 으로 저장 빅엔디안 변환 후 16진수로 저장된 데이터를 10진수로 변환해보겠습니다. FF E7 18 00 00 00 00 00 (리틀엔디안) -> 00 00 00 00 00 18 E7 FF (16진수) -> 18E7FF (16진수) = 1,632,255 (10진수)

      

      NTFS의 경우 맨마지막 섹터 바로 다음에 VBR 복사본을 저장하고 있습니다. 따라서 1섹터를 더해야 합니다. - NTFS의 전체 섹터 수 =1,632,255 + 1 = 1,632,256 섹터 [참고] 거의 대부분 윈도우와 같은 운영체제가 파티션을 나눌 때 파일시스템의 전체 섹터 수와 동일한 섹터로 나누고 있습니다. 굳이 파티션의 전체섹터 수와 파일시스템의 전체섹터 수를 다르게 할 필요가 없기 때문입니다. 만약 파일시스템의 전체 섹터 수가 파티션의 크기보다 작으면 남는 용량은 사실 사용할 수 없는 영역이기 때문에 굳이 비효율적으로 할 크기를 남겨둘 필요가 없습니다. 만약 파일시스템 크기가 파티션의 크기보다 크다면 다른 파티션에 파일시스템의 영역이 침범될 수 있기 때문에 안정성을 위해서 파티션을 작게 하지 않습니다.

      여하튼 실제 연습 문제를 제작해보시거나, 일부러 파일시스템과 파티션 크기를 다르게 하지 않는 이상 실제 시험에서는 대부분 동일한 크기를 갖게 될 것입니다. 시험에서는 사실 위와 같이 hex 값을 계산하는 등을 포함하여도 상관 없으나, 최근에는 포함하지 않아도 크게 문제되는 경우는 없었으며, 배점도 낮기 때문에 시나리오 관련 분석에 시간 투자하시는 것을 추천합니다. 그럼에도 시간이 남는다면 위와 같이 hex 값은 변환하는 것을 추가해보는 것도 나쁘진 않을 것입니다.

4. 전체용량 이 문제 또한 저장매체의 전체 용량인지, 파일시스템의 전체 용량인지 파악해야 합니다. 문제를 읽어봤을 때 둘 다 해당 될 수 있다면 둘 다 답안작성 합니다. 전체 용량은 전체 섹터 수 X 섹터의 크기 입니다. 거의 대부분 섹터의 크기는 512 Bytes 이므로 위에서 찾은 전체 섹터 수 X 512 [bytes]로 계산합니다.

   1. USB 저장매체의 전체 용량 1,638,400 (저장매체 총 섹터 수) X 512 = 838,860,800 bytes = 838,860,800 bytes / 1,024 = 819,200 Kbytes = 819,200 Kbytes / 1,024 = 800 MBytes

      
   2. 파일시스템의 전체 용량 1,632,256 (파일시스템의 총 섹터 수) X 512 = 835,715,072 bytes = 835,715,072 bytes / 1,024 = 816,128 Kbytes = 816,128 Kbytes / 1,024 = 797 MBytes EnCase에서는 파일시스템의 Total Sector X 섹터 크기 (512)를 계산한 항목이 없습니다. 따라서 직접 계산하여야 합니다.

      

   답안작성 시 숫자와 단위만 정확히 작성하면 큰 문제는 없을 것입니다.

5. 가용용량

   가용 용량의 경우 실제로 파일시스템에서 사용 가능한 데이터 영역입니다. NTFS, FAT32의 경우 데이터를 저장할 때 클러스터 단위로 데이터를 저장하기 때문에 클러스터 크기와 클러스터 수를 알고 있으면 사용 가능한 가용용량을 확인할 수 있습니다. > 가용용량 = 4,096 X 204,031 = 835,710,976 bytes = 835,710,976 bytes / 1,024 = 816,124 Kbytes = 816,124 Kbytes / 1,024 = 796.9 Mbytes EnCase에서는 Total Capacity 에서 계산을 해주고 있습니다.

   
6. 볼륨 시리얼 번호 볼륨시리얼 넘버는 파일시스템의 특정 번호라고 생각하면 됩니다. EnCase에서는 파일시스템 정보를 확인할 수 있는 곳에서 볼륨 시리얼넘버도 확인이 가능합니다. > 볼륨 시리얼 번호 : 047F-0C1D > 볼륨 시리얼 번호(NTFS Full Serial Number) : B6 04 7F 49 04 7F 0C 1D

   

   참고로 NTFS의 경우 아래와 같이 VBR을 저장하는 영역이 따로 있습니다.

   

   FTK Imager를 보면 파일시스템 영역에서 저장하는데 FTK Imager에서는 4바이트만 보여주고 있네요! 리틀엔디안이라고 표시하거나 빅엔디안으로 바꾼 뒤에 답안 작성에 활용합니다.

1. 단위 클러스터 크기 위에서 먼저 살펴봤지만 클러스터는 용량이 큰 파일시스템일 경우 섹터 단위로 파일을 저장하거나 관리하는 것이 비효율적이기 때문에 몇몇 섹터를 묶어서 하나의 클러스터로 관리합니다. 따라서 여러 섹터가 하나의 클러스터가 되는 것 입니다. > 클러스터 크기 = 512 X 8 = 4,096 bytes

   

   참고로 NTFS의 VBR에 클러스터 관련 부분을 해석하면 클러스터 크기를 알 수 있습니다.

   

   FTK Imager 에서 이를 해석 해서 보여 주는 것입니다. - Bytes Per Sector : 00 02 (리틀엔디안) -> 02 00 (16진수) = 512 bytes - Sector Per Cluster : 08 = 8섹터 -> Cluster Size = Bytes Per Sector X Sector Per Cluster = 512 X 8 = 4,096 bytes

   

   참고로 기출문제 중 "클러스터 당 섹터 수" 를 구하시오 라는 문제도 있던 것으로 기억합니다. 즉, Sector Per Cluster 를 묻는 문제였습니다. 이미 EnCase를 보면 Sectors per cluster 값을 보여주고 있습니다.

• 위에서는 제가 NTFS VBR 구조를 표시하면서 설명하였으나 연습 과정에서는 너무 hex 값을 직접 계산하려고 노력하지 않으셔도 됩니다. 도구가 충분히 해주고 있기 때문에 도구를 잘 활용하는 연습을 먼저 진행 하시고, 추후에 시간이 남으면 답안 작성 시 Hex 값을 계산하는 부분도 포함하여도 부족함이 없을 것입니다.

3-2) 기본 분석

• 시나리오와 상관 없이 기본 분석 문제를 해결해 봅시다!

증거 사본에서 다음 각 항목에서 요구하는 정보를 찾고, 각 항목의 답안을 작성하시오

1. MD5값이 b1d8389077392da0d053633b552cbafc 파일을 찾고 파일명, 크기, 시간 정보를 구하라.

2. 파일시스템이 생성된 날짜와 운영체제가 설치된 날짜를 구하라.

3. 해당 시스템에 연결된USB의 Drive Letter(할당된 드라이브 문자), Vender, Serial Number를 구하라.

4. “[서식 5] 공동제작영화의 한국영화인정신청서.hwp” 파일의 내부구조를 파악하고, 지은이(Author)을 파악하라.

5. 외부저장장치에 연결된 링크파일을 확인하고 외부저장장치의 MAC주소, 볼륨 시리얼 넘버, 대상파일 크기를 확인하라

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

1. MD5값이 b1d8389077392da0d053633b552cbafc 파일을 찾고 파일명, 크기, 시간 정보를 구하라. > 파일명 : 표준영화출연계약서.doc > 크기 : 82,944 bytes > 시간정보 - Created: 2019-06-15 10:15:58 (KST, UTC +9 표준한국시) - Modified: 2019-06-14 21:45:01 (KST, UTC +9 표준한국시) - Accessed: 2019-06-15 10:15:58 (KST, UTC +9 표준한국시)

   1. EnCase에서 파일 검색하는 방법은 여러가지가 있을 수 있지만 우선 빠르게 검색할 수 있는 방법을 알아보겠습니다. 먼저 좌측의 최상단 플레이트를 클릭하여 우측 테이블에 모두 표시 후 MD5 컬럼을 더블클릭하여 정렬합니다. 이 후 아무 파일의 MD5 부분을 선택 후 키보드에 "b1d8" 까지 입력하면 해당 파일을 찾아 갑니다. 파일명, 확장자 등도 모두 동일하게 활용 가능한 검색 방법입니다.

      

   2. 이를 위해선 MD5 계산이 되어 있어야 하며 처음 프로세싱에서 Hash analysis가 선택되어 있어야 합니다.

      

   3. 다만 프로세싱 보다 더 빠른 방법을 소개하자면 만약 프로세싱 진행 동안 보다 빠르게 해시, 파일 시그니처 분석을 돌리고자 한다면 아래와 같이 주요 파일 또는 최상위 폴더를 체크한 뒤 우클릭 Entries - Hash/Sig Selected를 선택 후 필요한 해시알고리즘, Verify file signatures 를 선택하여 프로세싱과 동시에 따로 이 부분을 진행할 수 있습니다.

      
   4. 또는 FTK Imager에서 최상위 Root 에서 Export File Hash List를 선택 하여 출력 후

      

      Ctrl + F 를 이용하여 해당 파일을 검색합니다.

      

2. 파일시스템이 생성된 날짜와 운영체제가 설치된 날짜를 구하라.

   1. 파일시스템 생성 날짜 > 2019-06-15 11:03:16 (KST, UTC +9 표준한국시) 파일시스템 영역에 파일시스템 생성된 시간을 저장하는 영역은 따로 존재하지 않습니다. 그러나 파일시스템 생성 후 파일 관리를 위해 존재하는 $MFT 파일은 처음부터 생성되어 계속 활용되는 파일입니다. 따라서 일반적으로 $MFT 파일의 생성시간이 NTFS 파일시스템의 생성시간으로 볼 수 있습니다.

      
   2. 운영체제가 설치된 날짜 > 2019-05-29 19:52:02 (UTC +9, 표준한국시)

      1. View - Artifacts 에서 Sytem Info Parser를 열어 봅니다. Windows - Operating System의 System Artifacts 클릭 합니다.

         

         Install Date에서 설치 일자를 확인할 수 있습니다. Value Text를 확인해야 하며, 표준한국시가 적용되어 있지 않으니 답안 작성시 이를 감안하여 작성 해야 합니다. - 2019-05-29 10:52:02 GMT 또는 2019-05-29 19:52:02 (UTC +9, 표준한국시)

         

      2. EnCase의 Case Analyzer를 이용하여 확인도 가능 합니다. EnScript - Case Analyzer를 선택합니다. 이 후 Case를 선택 하면 분석하여 정리하여 보여줍니다. (Process가 되어 있어야 분석이 됩니다.)

         
      3. 운영체제 설치 날짜를 레지스트리를 분석하면 확인할 수 있습니다. 먼저 Windows\System32\Config 폴더에서 SOFTWARE 을 찾습니다. 이 후 우클릭 Entries - View File Structure를 하여 레지스트리 파일 구조를 분석할 수 있습니다.

         

         구조 분석이 될 때까지 기다린 뒤 Microsoft\Windows NT\CurrentVersion 에서 InstallDate 데이터를 확인할 수 있으며 hex 값을 선택 후 Decode 에서 Dates - Unix Date로 변환하여 보면 시간 정보를 확인할 수 있습니다.

         
      4. 또는 레지스트리 파일을 추출 한 뒤 REGA를 이용해서 분석합니다. > 2. REGA 사용법 확인

         

      이렇듯 여러가지 방법은 있으나, 실제 시험에서는 연습 과정에서 본인이 편한 방법으로 활용하면 됩니다.

   [참고] 일반적으로 파일시스템 생성 시간이 빠르나 운영체제 설치 시간이 빠른 이유는 문제 제작 과정에서 윈도우 아티팩트를 새로운 파일시스템에 저장하면서 생긴 문제 입니다. 실제로는 이러한 현상이 나타날 일은 거의 없습니다.

3. 해당 시스템에 연결된 USB의 Drive Letter(할당된 드라이브 문자), Vender, Serial Number를 구하라. > USB Drive Letter : E 드라이브 > USB Vendor : SanDisk > Serial Number : 4C530001020712119595

   1. EnCase의 View - Artifacts에서 System Info Parser - USB Devices - Devices를 선택

      

      USB Records 에서 연결된 USB 정보를 흔적을 확인할 수 있습니다.

      
   2. Case Analyzer에서 Drives Removable + Local 에서 USB Devices 에서도 연결되었던 USB 관련 정보를 확인할 수 있습니다.

      

   3. 레지스트리 파일(Windows/System32/config/SYSTEM) 우클릭 후 Entries - View File Structure 를 통해 내부 구조를 확인해보겠습니다.

      

      MountedDevices 에서 E드라이브 연결 파일을 선택 후 Text에서 CodePage를 Unicode로 변경하여 연결되었던 매체 정보를 확인할 수 있습니다.

      

      ControlSet001/Enum/USBSTOR에서 연결되었었던 USB 관련 정보가 있습니다.

      
   4. REGA의 저장장치, 장치관리자 메뉴에서도 USB 연결 정보를 확인할 수 있습니다.

      
4. “[서식 5] 공동제작영화의 한국영화인정신청서.hwp” 파일의 내부구조를 파악하고, 지은이(Author)을 파악하라.

   1. 먼저 파일을 찾아보겠습니다. 좌측의 상위 플레이트를 선택 후 Name를 더블클릭하여 정렬 후 "[서식 5"를 입력하여 찾아봅시다.

      

      1. 내부구조 관련 파일을 쉽게 찾을 수 있으며, 문제의 의도를 파악해보겠습니다. 확장자와 시그니처를 보면 Hwp로 문서 파일임을 알 수 있습니다. 처음보는 파일의 구조를 파악하는 것은 사실 쉬운것은 아닙니다. 다만 문서파일의 경우 텍스트, 서식, 그리고 사진 같은 미디어를 하나의 파일로 저장되는 구조를 가지고 있으며, 확장자를 변경하여 압축해제하여 구조를 파악할 수 있는 형태를 가지고 있습니다. 즉, 시험에서 요구하는 것도 이러한 문서파일 또는 복합 파일/문서 구조(Compound File) 파일을 대략적으로 알고 있는지 묻는 문제입니다. EnCase에서는 Compound 파일 구조를 분석해주는 기능이 있어 바로 확인해 보겠습니다. 우클릭 후 Entries - View File Structure를 클릭합니다.

         
      2. 문서 파일의 내부 구조를 확인할 수 있습니다.

         
      3. 문서파일을 추출한 뒤에 확장자를 압축파일 형태로 변경 후 내부구조를 살펴봅시다. 압축을 해제하면 문서 파일내의 여러가지 구조들을 확인할 수 있습니다.

         

         시험 답안 작성을 한다고 한다면 이 부분을 스크린샷 첨부하여 간단한 설명을 하는 수준으로도 충분할 것 입니다. 시험 시간 내에 파일 구조를 하나하나 뜯어 보는건 사실 많은 시간이 걸리며, 실제로 이러한 분석을 할 때에는 제조사의 정보등을 활용하여 분석하기 때문입니다. 참고로 _HwpSummaryInformation 파일을 HxD로 연 다음 가장 처음을 FF FE로 수정 후 메모장에서 열어보면 문서 관련 정보를 확인할 수 있습니다. 다만 이 정보가 어떤 값을 의미하는지는 추가적인 분석을 통해서 정확히 맞추는 작업(파싱)을 하여야 할 것입니다.

         

         (참고로 ChatGPT 등을 활용하여 이 파일구조를 분석하는 도구들을 만들어 보는것도 좋을 것입니다. - 시험준비 말고 개인 공부용으로 활용)

   2. 지은이(Author) > 법제처 국가법령정보센터

      1. 한글 문서의 경우 파일을 실행 한 뒤 파일 - 문서 정보에서 지은이 관련 정보를 확인할 수 있습니다.

         

      2. 파일을 열어 우클릭 Entries - View File Structure를 하면 내부구조를 확인할 수 있습니다.(압축해제)

         

         여기서 HwpSummary 부분을 보면 Author 부분에 값을 가지고 있고, 이를 Codepage 에서 유니코드로 설정 시 지은이 정보를 확인할 수 있습니다.

         
5. 외부저장장치에 연결된 링크파일을 확인하고 외부저장장치의 MAC주소, 볼륨 시리얼 넘버, 대상파일 크기를 확인하라. > 파일명 : Phantom.zip.lnk > 대상 경로 : E:\Phantom.zip > 대상 볼륨 Lable : NTFS_USB > MAC주소 : 00:0C:29:07:83:7A > 볼륨시리얼넘버 : 5C3DA927 > 대상파일 크기: 614,480 bytes

   1. 링크파일을 살펴보겠습니다. View - Artifacts 에서 Windows Artifact Parser를 선택 한 뒤 Link Parser를 선택합니다.

      

      Base Path를 더블클릭하여 정렬 후 E드라이브에 있었던 파일의 링크파일의 정보를 확인할 수 있습니다. 시험에서 요구하는 정보를 확인할 수 있습니다.

      
   2. 링크파일 상세 분석을 위해서 링크 분석도구를 살펴봅시다. (도구 사용법)> 2. Link 링크파일 관련

      

      MAC 주소 : 링크 파일 내에 포함될 수 있는 네트워크 카드의 고유주소 입니다.

HwpSummary 조금 더 살펴보기 (참고)

• 시험에서는 이런 식의 분석하기에는 매우 시간도 부족하고, 배점도 낮아서 활용할 필요는 없는 부분 입니다! 다만 개인공부를 하고자 한다면 살펴보시길 추천합니다.

• 한글관련 문서 파일을 분석을 할 때에는 사실 제조사에서 제공하는 정보를 활용하는 것이 가장 좋을 것입니다. > https://www.hancom.com/etc/hwpDownload.do > 상세문서 12페이지를 보면 (링 크) HwpSummary 관련 부분에 내용이 있습니다.
• 처음에는 당연히 뭔가.. 싶긴한데 ChatGPT 등에게 물어보다 보면 기본적인 구조를 파악할 수 있게 됩니다.

• Author 부분만 조금 살펴보면

  

  Author를 나타내는 Property ID 부분 다음에 해당 영역 데이터가 있는 오프셋 위치를 알려주고 있습니다.

  

  Property ID가 시작하는 위치기준으로 148 바이트 뒤에 Author 가 시작하는 부분이 위치하는 것입니다.

  

  해당 부분을 2바이트 선택해서 우측의 데이터 변환기를 보면 한글이 보입니다. 2바이트씩 뒤로 가면서 보면 한글 내용을 알 수 있습니다.

  

• txt로 한번에 보고 싶다면 HxD에서 새로 파일을 생성 후 맨앞에 "FE FF" 를 추가한 뒤 앞의 Author 데이터 영역을 모두 복사한 뒤 추가합니다.

  

  파일명을 ~.txt로 변경 후 저장하면 내용을 확인할 수 있습니다. "FE FF"는 메모장 저장시 인코딩 방식이 UTF-16 LE (2바이트 유니코트 리틀엔디안)을 보겠다는 의미입니다.

  
• 한발 더 나아가서 이 부분을 Python 등을 이용하여 분석하는 도구를 만들 수도 있을 것입니다.

  

3-3) 시나리오 관련 분석

• 시나리오와 관련 있는 분석 문제를 해결해 봅시다!

증거 사본에서 다음 각 항목에서 요구하는 정보를 찾고, 각 항목의 답안을 작성하시오

1. 내부자료를 외부로 유출한 파일(시나리오 원본)과 관련 파일을 찾고 증거의 속성을 기재하라.

2. 유출된 캡쳐 파일을 찾고, 인터넷 커뮤니티 사이트에 접근한 흔적을 찾아라.

3. 추가적으로 외부로 유출한 흔적을 찾아라.

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

• 시나리오 관련 파일은 순서대로 찾아지는 것이 아니라 파일들을 찾다보면 순서 상관없이 의심스런 파일들이 찾아질 수 있습니다. 따라서 우선은 전체적으로 살펴보고, 찾은 파일이 몇 번 문제에 해당하는지 맞춰보는 방식으로 가야 합니다.

1. 파일을 추가로 살펴보다 보면 확장자는 pdf 인데 시그니처가 zip 파일입니다.

   

   먼저 파일 시그니처를 보면 PK로 시작하며 압축파일로 보입니다. 우클릭 Entries - View File Structure를 클릭하여 내부 구조를 확인합니다.

   

   내부 구조를 보면 캡쳐본 파일들이 보입니다.

   
2. Phantom.pdf 파일을 우클릭 - Entries - View File Structure를 선택합니다. 메일 등에 서 확인한 암호를 입력합니다.

   

   암호를 정확히 입력 하면 문제에서 요구하는 파일을 확인할 수 있습니다.

   
3. Phantom.pdf을 추출하여 확인해볼 수 있습니다. Phantom.pdf의 확장자를 zip.로 변경 후 압축해제 해보면 암호를 물어봅니다. 위의 메일을 상세히 살펴보면 비밀번호를 찾을 수 있습니다.

   

   암호를 정상적으로 입력 후 압축 해제 하면 PDF 파일을 확인할 수 있습니다.

   

4. Documents 폴더를 살펴보면 누가봐도 의심스런 파일들 목록이 확인됩니다. 해당 파일을 살펴보면 메일 내용을 확인할 수 있습니다. 메일들을 살펴보면 시나리오와 관련이 있고 비밀번호 관련 내용이 포함되어 있습니다. 아직은 모르지만, 어딘가에서 비밀번호를 활용해봅시다. 메일을 보면 첨부파일을 전송한 내역도 확인할 수 있습니다.

   

   메일로 보낸 첨부파일을 한번 내부구조 파악을 통해 확인해보겠습니다. 우클릭 Entries - View File Structure를 선택합니다.

   

   attach_~ 폴더 내를 살펴보다 보면 Unicode로 첨부파일명 확인이 가능합니다.

   

   또한 용량이 큰 파일을 보면 시그니처가 PK로 시작하는 압축파일로 보이며, 우클릭 Entries - View File Structure를 통해 내부 구조를 확인해보겠습니다. 위에서 찾은 파일 처럼 암호를 물어봅니다.

   

   정상적으로 내부구조를 확인 해보면 위에서 발견한 시나리오 관련 파일을 확인할 수 있으며, 이 파일을 메일을 통해 전송한 것을 확인해볼 수 있습니다.

   
5. 문제에서 요구하는 인터넷 접속 기록도 한번 살펴보겠습니다. View - Artifacts 에서 Internet 부분을 클릭 한 뒤 Chrome - History에서 우측 테이블에서 오른쪽으로 쭉 땡겨서 뒤에 보면 접근시간, 접근 URL정보를 확인할 수 있으며, 하단의 Report 에서도 확인이 가능합니다.

   

   Internet Explorer 의 History 에서도 접근 기록 확인이 가능합니다. 이를 참고하여 시험에서 요구하는 방식으로 답안 작성을 하면 됩니다.

   
6. 주요 증거파일이 외부 유출되어 있을 수 있기 때문에 키워드 검색을 통해서 다른 유출 흔적이 있는지 검색해보도록 하겠습니다. 최상위 체크를 통해 전체 체크 후 Raw Search Selected를 통해 검색을 해보도록 하겠습니다.

   

   키워드 검색 진행 상황은 우측 하단에서 확인할 수 있으며 검색이 완료 되면 View - Keyword Hits에서 검색 결과를 확인할 수 있습니다. 결과 Items를 선택 후 파일들을 살피다 보면 FileZilla Server.log 파일을 발견할 수 있습니다.

   
7. 해당파일을 추출한 뒤 한번 내용을 간략히 살펴보겠습니다. 192.168.2.26에서 FTP 서버(192.168.2.44)로 접속하여 명량.pdf를 다운받은 로그를 확인할 수 있습니다.

   
8. 참고로 우리가 분석하는 OS의 IP 정보 확인을 위해서는 View Artifacts 에서 System Info Parser - Network - Interfaces 에서

   

   네트워크 연결 정보를 확인할 수 있는 부분에서 할당된 IP 를 확인할 수 있습니다.

   

   참고로 Windows/system32/config 폴더의 SYSTEM 레지스트리 파일을 우클릭 Entries - View File Structure를 통해 내부 구조를 확인하여

   

   ControlSet001/Services/Tcpip/Parameters/Interfaces 에서 값들을 살펴보다 보면 IP정보가 할당되어 있는 데이터를 확인할 수 있습니다. DHCPIP가 192.168.2.44로 할당되었던 것을 알 수 있습니다. 이 값을 Processing 하여 정리하여 보여주는 것 입니다.

   
9. 지금까지를 종합하여 정리해보면 [Phantom.pdf] 먼저 시나리오 pdf 파일을 암호를 걸어 압축하였습니다. (Phantom.zip) 이 파일의 확장자를 pdf로 변경하였습니다. Phantom.zip -> Phantom.pdf 이 파일을 메일을 통해 전송하였습니다.

   [명량.pdf] 시나리오 관련 캡쳐 사진 몇 장을 압축파일로 생성 후 확장자를 pdf 로 변경하였습니다. 이후 FTP 를 통해 외부로 유출하였습니다.

• 주관식 문제에 대입해서 정리해보도록 하겠습니다.

1. 내부자료를 외부로 유출한 파일(시나리오 원본)과 관련 파일을 찾고 증거의 속성을 기재하라. 위에서 분석한 결과 시나리오 원본으로 보이는 파일은 Phantom.pdf 이며, 이 파일의 원본파일의 속성을 확인해보겠습니다. - 파일명 : Phantom.pdf - 경로 : Users/forensic/Desktop/영화 시나리오/Phantom.pdf - 파일크기: 614,480 bytes - 해시값 (MD5) b8a049dafd260f7c6594f522a46438ab (SHA1) 5c92f602df3c6af00bfe63574e19ddb853b77d61

2. 유출된 캡쳐 파일을 찾고, 인터넷 커뮤니티 사이트에 접근한 흔적을 찾아라. 유출된 캡쳐파일의 경우 "명량.pdf"이며 압축파일이나 확장자를 변경하여 저장하고 있었습니다. 답안 작성 시 해당 캡쳐파일들의 정보도 포함하는 것이 적절할 것입니다.

   

   - 파일명 : 명량.pdf - 경로 : Users/forensic/Desktop/영화 시나리오/명량.pdf - 파일크기: 1,926,536 bytes - 해시값 (MD5) 89d9ef6bedac8b82ac23b8e98ecceda8 (SHA1) cd6b5d6d9c1b04735754911e7344069ba4d1eedc - 인터넷 접속 기록을 살펴보면 해당 사이트를 2019-06-15 10:41:28 ~ 10:41:42 사이에 접속한 흔적을 확인할 수 있습니다.

   
3. 추가적으로 외부로 유출한 흔적을 찾아라. 추가적으로 FileZilla를 통해 외부로 유출한 흔적을 확인할 수 있었습니다. 2019-06-15 오전 10:47:05 경 외부(192.168.2.26)에서 FTP 서버에서 (192.168.2.44)로부터 명량.pdf 를 다운로드한 유출한 흔적을 확인하였습니다. - 파일명 : FileZilla Server.log - 경로 : Program Files (x86)/FileZilla Server/FileZilla Server.log - 파일크기: 4,634 bytes - 해시값 (MD5) 76c33e0eb9ba6206f251b4bafef44e2f (SHA1) ca084bd10fa4860b5f891202d3bd2b619d263444

   

3-4) 법률, 절차 문제

1. 증거 사본의 동일성을 증명하기 위한 조치(절차) 에 관하여 기술하시오.

2. 검사는 증거사본에서 시나리오 외부유출과 관련된 이메일의 증거를 법정에 제출하였다. 이 증거의 증거능력에 관하여 기술하시오.

3. 위의 사건을 해결하는 중에 선거법 위반의 의심증거가 발견되었을 때 해야 할 조치는 무엇인가?

4. 만약 이메일 정보가 PC에 저장되지 않아서 메일 서버에 로그인 하여 증거를 수집한다고 하였을 때 대법원 판례에 의해서 적법한 방법은 무엇인가.

답안 작성 해보기 (직접 먼저 해보시고 참고 해보세요!)

• 법률, 절차 문제의 경우 문제가 의도하는 답안, 키워드 작성해야 할 것이며, 최대한 본인이 아는 것을 많이 작성해야 합니다. 또한 디지털 증거 관련 문제의 경우 결국 주요 키워드들이 어느정도 정해져 있을 것 입니다. 이러한 것을 잘 생각하여 답안 작성합니다. (참고) > 5. 주관식 - 기본 절차 및 증거법 관련

  

4. 답안 작성

답안 저장

• 문제지에서 요구하는 형식에 맞춰서 답안 작성 문서 파일, 주요 증거 파일을 저장합니다.

  

  참고로 시험 합격여부에 거의 영향은 없을 것이지만 증거제출용 USB에 먼저 문서파일, 폴더를 저장한 뒤에 맨 마지막에 FTK Imager에서 주요 증거파일을 USB 파일 저장 폴더에 바로 추출합니다. EnCase에서 우클릭 - Entries - Copy로 추출한 뒤 저장할 때 USB에 주요 증거파일 폴더에 추출하여도 동일합니다.

  

  이렇게 함으로써 증거제출용 USB에 시간정보가 원본과 동일한 값을 가지게 됩니다.

  

답안 작성(참고로만 활용)

• 정답은 아니라 이런 식으로 답안 작성을 하면 된다는 정도로만 활용하시고 내용을 쉽게 작성 합니다. 다만 가장 중요한건 문제에서 요구하는 파일이나 내용, 키워드가 포함되어야 합니다.

• [답안] 문제 1.docx

  

  

• [답안] 문제 2.docx

  
• [답안] 문제 3.docx

  
• [답안] 문제 4.docx

  

논리이미징 만들어보기

아직 시험에 출제된 적은 없으나 선별수집 시 파일들 만을 대상으로 논리이미징 하는 방식입니다.

다만, 시험에서 요구하지 않는 경우 불필요하게 포함할 필요는 없을 수 있기 때문에 참고로 알아 둡시다.

1. EnCase에서 증거로 제출할 파일들을 선택 후 우클릭 - Bookmark - Single Item 또는 체크 후 Selected Items를 선택 한 뒤 북마크 폴더에 추가합니다. 처음 북마크 폴더를 만들 때 Destination Folder에서 새로운 폴더명을 지정합니다.

   

   파일이 추가가 완료되면 체크를 하여 추출할 파일들을 선택 한 뒤 우클릭 Review Package - Export를 선택합니다.

   

   논리이미지 파일을 EnCase Evidence에 추가하여 확인 해보면 주요 증거 파일을 확인할 수 있습니다.

   
2. FTK Imager에서 주요 증거 파일을 선택 후 우클릭 - Add to Custom Content Imager(AD1)을 통해 추가 후 Create Image 를 선택합니다.

   

   Add를 통해 저장할 경로를 지정합니다.

   

   FTK Imager 에서 해당 이미지를 추가하면 추가한 파일을 확인할 수 있습니다.

   

• 2019 실전 연습문제

2019 실전 연습 문제