디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. 쓰기방지 및 사본 이미지 획득
  • 1-1) 쓰기방지
  • 1-2) 사본 이미지 획득
  • 2. 분석 준비
  • 2-1) 파일시스템 복구
  • 2-2) 분석 이미지 추가하기
  • 3. 분석 및 문제 해결
  • 3-1) 저장매체, 파일시스템 관련
  • 3-2) 기본 분석
  • 3-3) 시나리오 관련 분석
  • 4. 답안 작성
  1. 디지털포렌식전문가 2급 실기와 친해지기(실기)
  2. 3. 실전 연습 문제
  3. 2019 실전 연습 문제

2019 실전 연습 - 분석해보기(EnCase)

Previous2019 실전 연습 - 분석해보기(무료도구)Next2020 실전 연습 문제

Last updated 6 months ago

분석 연습에 필요한 저장매체 (가상디스크, E01 이미지) 파일의 경우 이전 포스팅에서 다운 받을 수 있습니다.

-> 2019 실전 연습 문제

1. 쓰기방지 및 사본 이미지 획득

  • 에서 진행한 것과 동일한 방식으로 진행

1-1) 쓰기방지

  1. 가상디스크로 연습에는 큰 의미는 없으나 연습을 위해서 한번 옵션을 사용해보도록 하겠습니다. EnCase의 Tools - FastBlock SE...을 선택 하여봅시다.

  2. 먼저 Write Protected, 또는 Write Blocked 를 선택 한 뒤 게이지가 움직이고 있는 상태에서 USB를 연결하면 Write Protected, 또는 Write Blocked 에 표시가 되면서 쓰기방지가 설정됩니다.

  3. 이제 문제 저장매체(가상디스크)를 연결해보도록 하겠습니다. (실제 시험에서는 USB를 연결하는 것과 동일한 것 입니다.) 가상디스크로 연결 할 경우 디스크 관리(Win+X - 디스크 관리)에서 동작 - VHD 연결에서 읽기 전용을 체크 한 뒤 가상디스크 파일을 선택합니다.

  4. 가상디스크가 정상적으로 연결 된 경우 아래와 같이 확인할 수 있습니다. 가상디스크 또는 USB를 연결한 경우 아래와 같이 포맷이 필요하다고 하는 것이 표시된다면 정상 인식 된 것입니다.

1-2) 사본 이미지 획득

  1. 이제부터 사본 이미지 획득을 진행 합니다.

    파티션1을 살펴보니 시작 섹터는 비어 있으나 마지막 섹터로 가보니 NTFS의 VBR 복사본이 위치합니다. 즉, 파일시스템이 훼손되어 있습니다. 따라서 RAW 로 이미지 획득을 진행합니다.

    추가적으로 파티션 1의 경우 정상이며 파티션2가 훼손된 것을 알 수 있습니다. 파티션2의 시작 섹터가 204,928, VBR 복사본이 204,934 섹터에 있는 것을 알 수 있습니다.

  2. 물리 드라이브 최상위 우클릭 - Export Disk Image (꼭 최상위를 선택해야 저장매체의 전체 사본을 획득할 수 있습니다. 파티션만 고를 경우 파티션만 획득됩니다.)

    또는 File - Create Disk Image - Physical Drive 를 선택합니다. (완전히 동일한 기능으로 원하는 걸로 하시면 됩니다.)

  3. Add 를 이용하여 획득한 이미지 파일 종류, 저장할 경로, 분할 사이즈를 선택합니다.

    분할 사이즈(Image Fragment Size)는 0으로 설정합니다. -> raw 이미지 파일이 1개로 나오며 0번부터 마지막 섹터까지 연결되어 복구가 용이합니다.

  4. raw 이미지 획득이 완료되면 아래와 같이 .001 파일이 생성되며, .txt로 로그 파일이 생성됩니다. 이 로그 파일에서 실제 시험에서 답안 작성 또는 분석 보고서에 활용할 원본 저장매체의 해시값, 드라이브 시리얼 넘버 등이 나옵니다. 아쉽게도 가상디스크의 경우 시리얼 넘버가 없습니다.

  5. 다만 실제 시험에서 USB로 획득한 경우 USB의 시리얼 넘버를 확인할 수 있습니다. 답안 작성 연습을 위해 아래의 정보가 log에 포함되어 있다고 생각하고 진행합시다. [Physical Drive Information] - Drive Model: SanDisk Cruzer Blade USB Device - Drive Serial Number: 4C530001040725104371 - Source data size: 200 MB - Sector count: 409600

2. 분석 준비

2-1) 파일시스템 복구

  1. 파일시스템 복구에 필요한 것은 위에서 이미 확인 하였으나 다시 한번 살펴보겠습니다. 먼저 파티션 2번 위치로 이동하였는데 섹터의 앞부분이 훼손되어 있습니다. 사실 NTFS, FAT32 파일시스템에서 앞 부분이 가장 중요한 값이 저장됩니다. 그리고 바로 다음 섹터에 RRaA가 보입니다. 보통 이 경우는 FAT 파일시스템에 해당합니다. (RRaA가 없을 수도 있습니다.)

    FAT32 파일시스템의 VBR 복사본은 파티션 시작 +6번 섹터에 위치합니다.

  2. 가장 밑에 섹터를 보면 비어 있습니다. 즉 NTFS가 아닌 것입니다. 파티션2 시작 섹터 +6번 섹터를 확인해보면 FAT32 VBR의 복사본이 위치합니다.

    파티션 시작 섹터 204,928, VBR 복사본이 204,934 즉, 204,934 섹터를 204,928번 섹터에 덮어써서 복구할 수 있습니다.

  3. 파일시스템 복구는 HxD를 이용하여 Raw 이미지를 복구합니다. 도구 - 디스크 이미지 열기로 Raw 이미지를 열고 VBR 복사본이 위치한 섹터(204,934)로 이동 후 한 섹터를 복사합니다.

    204,928번 섹터가 파티션2 시작 위치며 정상 VBR이 위치해야 합니다. 이 섹터에 가장 앞부분에서 우클릭 -[붙여넣기 쓰기] 하여 덮어씁니다. * 삽입을 하게 되면 1섹터가 전체적으로 밀려나기 때문에 삽입하면 안됩니다.

  4. FTK Imager를 이용하여 복원한 이미지를 불러오면 정상적으로 파일 구조가 확인되면 복구는 정상적으로 진행한 것입니다.

2-2) 분석 이미지 추가하기

  1. EnCase에서 케이스 생성 후 복구한 Raw 이미지를 추가합니다. Add Evidence - Raw Image를 선택 한 뒤 복구한 파일시스템을 선택합니다.

  2. 이 후 1차 프로세싱(Processor)을 진행합니다. 비교적 빨리 끝나며 기존에 주로 출제되는 문제 유형을 해결하는데 도움이 되는 프로세스 옵션을 선택 후 진행합니다. - File Signature analysis - Hash Anlysis - Find email - Find Internet Artifacts - System info Parser - Windows Event Log Parser - Windows Artifact Parser

  3. View - Processor Manager, 우측 하단에 진행 상황을 확인할 수 있습니다.

  4. 실제 시험에서는 이 동안 해결 가능한 문제를 해결하거나, 답안 작성 준비를 작업을 진행합니다. 프로세싱이 완료되면 Evidence 의 우클릭 또는 Refresh를 클릭하여 프로세싱 처리 내역을 적용합니다.

3. 분석 및 문제 해결

3-1) 저장매체, 파일시스템 관련

  • 증거물 사본을 생성하고 각 문제 항목의 답안을 작성하시오.

  1. USB 증거 사본을 생성하는 과정과 결과를 단계별로 기술하시오.

  2. 파일시스템이 훼손되어 있다. 이를 복구하고, 복구한 파일시스템의 정보 중 아래 항목을 찾아 기술하시오.

    가) 파일 시스템 종류 나) 총 섹터 수 / 전체용량 / 가용용량 다) 볼륨 시리얼 번호 라) 단위 클러스터 크기

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

  1. USB 증거 사본을 생성하는 과정과 결과를 단계별로 기술하시오.

  • 쓰기 방지 후 이미지 획득 과정, 이미지 획득 후의 해시값을 간단히 작성합니다.

    1. EnCase의 Fastbloc SE를 이용한 쓰기방지 설정

    2. FTK Imager를 이용한 사본 이미지 획득

    3. 사본 이미지 획득 후 해시값 확인

  1. 파일시스템이 훼손되어 있다. 이를 복구하고, 복구한 파일시스템의 정보 중 아래 항목을 찾아 기술하시오. - 복구한 파일시스템 관련하여 문제에서 요구하는 부분은 [Report] 탭에서 모두 확인이 가능합니다.

    1. 복구한 파일 시스템 종류 > 복구한 파일시스템 종류: FAT32

    2. 총 섹터 수 > 198,656 섹터 전체 용량 (Total Size) > 198,656 X 512 = 101,711,872 Bytes = 101,711,872 / 1,024 = 99,328 KBytes = 99,328 / 1,024 = 97MBytes 가용용량 (Total Capacity = Total Cluster X Cluster Size)

      > 97,517,568 Bytes = 95,232 Kbytes = 93MB = 95,232(Total Cluster) X 1,024(Cluster Size = 2 X 512) = 97,517,568 Bytes

    3. 볼륨 시리얼 번호 > 1CC0-381D

    4. 단위 클러스터 크기

      > 2 X 512 = 1,024 Bytes = 1Kbytes (Sectors per cluster X Bytes per Sector)

3-2) 기본 분석

  • 시나리오와 상관 없이 기본 분석 문제를 해결해 봅시다!

증거 사본에서 다음 각 항목에서 요구하는 정보를 찾고, 각 항목의 답안을 작성하시오.

  1. MD5 값이 d1d3a12062725e2881fe1fa9fe32c638 인 파일을 찾고 파일의 파일명, 크기, 시간 정보를 구하라.

  2. 각 파일시스템이 생성된 시간 또는 생성된 시간으로 가장 적절해 보이는 시간을 구하라.

  3. “2018년 스마트폰 과의존 실태조사 결과.hwp” 파일의 내부구조를 확인하고, 지은이 (Author)를 파악하라.

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

  1. MD5값이 d1d3a12062725e2881fe1fa9fe32c638 파일을 찾고 파일명, 크기, 시간 정보를 구하라. > 파일명 : 설악산.png > 논리적 크기 : 1,075,839 bytes / 물리적 크기 : 1,077,248 bytes > 시간정보 - Created: 2019-11-18 09:47:45 (+9:00 대한민국 표준시) - Modified: 2019-11-18 09:47:45 (+9:00 대한민국 표준시) - Accessed: 2019-11-17 12:02:44 (+9:00 대한민국 표준시)

    1. EnCase에서 파일 검색하는 방법은 여러가지가 있을 수 있지만 우선 빠르게 검색할 수 있는 방법을 알아보겠습니다. 먼저 좌측의 최상단 플레이트를 클릭하여 우측 테이블에 모두 표시 후 MD5 컬럼을 더블클릭하여 정렬합니다. 이 후 아무 파일의 MD5 부분을 선택 후 키보드에 "b1d8" 까지 입력하면 해당 파일을 찾아 갑니다. 파일명, 확장자 등도 모두 동일하게 활용 가능한 검색 방법입니다.

    2. 이를 위해선 MD5 계산이 되어 있어야 하며 처음 프로세싱에서 Hash analysis가 선택되어 있어야 합니다.

    3. 다만 프로세싱 보다 더 빠른 방법을 소개하자면 만약 프로세싱 진행 동안 보다 빠르게 해시, 파일 시그니처 분석을 돌리고자 한다면 아래와 같이 주요 파일 또는 최상위 폴더를 체크한 뒤 우클릭 Entries - Hash/Sig Selected를 선택 후 필요한 해시알고리즘, Verify file signatures 를 선택하여 프로세싱과 동시에 따로 이 부분을 진행할 수 있습니다.

  2. 각 파일시스템이 생성된 시간 또는 생성된 시간으로 가장 적절해 보이는 시간을 구하라.

    > C드라이브 : 2019/11/18 09:47:16 (UTC+9) > D드라이브 : 2019/11/18 09:47:28 오전 (UTC+9)

    1. C드라이브는 NTFS 파일시스템으로 파일시스템 생성 후 $MFT 가 생성된다. 이 시간을 통해 생성시간으로 생각할 수 있습니다.

    2. FAT32의 경우 최상위 경로에 볼륨 레이블을 저장하고 있습니다. 일부로 볼륨 레이블을 수정하지 않는 이상 최초의 포맷 할 때의 볼륨레이블 생성 시간이 파일시스템 생성 시간으로 볼 수 있습니다.

  1. “2018년 스마트폰 과의존 실태조사 결과.hwp” 파일의 내부구조를 확인하고, 지은이 (Author)를 파악하라. - 내부구조

    - 지은이 : Forensic

    1. 먼저 파일을 찾아보겠습니다. 좌측의 상위 플레이트를 선택 후 Name를 더블클릭하여 정렬 후 "2018년"을 입력하여 찾아봅시다. 이후 내부 구조를 살펴보기 위해 우클릭 Entries - View File Structure를 선택합니다.

    2. 내부구조를 살펴볼 수 있으며 Author에서 유니코드 확인 시 지은이도 파악이 가능합니다.

    3. (참고) 파일을 추출한 뒤 파일 - 문서정보에서도 확인이 가능합니다.

3-3) 시나리오 관련 분석

  • 시나리오와 관련 있는 분석 문제를 해결해 봅시다!

    • 안티포렌식 기법이 적용된 파일들을 분석하고, 시나리오에서 요구하는 주요 증거들을 찾아라.

    • 보상 받기로 한 계좌번호와 비밀번호는 무엇인가?

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

  • 시나리오 관련 파일은 순서대로 찾아지는 것이 아니라 파일들을 찾다 x보면 순서 상관없이 의심스런 파일들이 찾아질 수 있습니다. 따라서 우선은 전체적으로 살펴보고, 찾은 파일이 몇 번 문제에 해당하는지 맞춰보는 방식으로 가야 합니다.

  • 우선 접근할 때 순서를 정해보도록 합시다.

    1. 일반적으로 사용자가 접근하는 폴더 살펴보기

    2. 시그니처가 이상한 파일

    3. 메일, 시나리오 관련 정상 파일 살펴보기(폴더 별로 일일이 살펴봐야 합니다.)

  1. 먼저 "1. 회사" 폴더에서는 Signature Analysis를 살펴보면 Alias / hwp 를 볼 수 있는데 기본적으로 한글 파일은 Alias가 맞습니다. 이유로 EnCase는 한글파일이 어떠한 시그니처를 가지고 있는지 저장하고 있지 않습니다. Hwp 한글문서 형식은 전 세계적으로 쓰는 문서 형태가 아니기 때문입니다.

  2. "2. 사진" 폴더를 살펴보면 Alias로 보이는 파일이 발견되는데 Hex 시그니처를 보면 압축파일인 것을 알 수 있습니다.

    EnCase에서는 우클릭 후 Entries - View File Structure를 통해서 압축된 파일 을 확인할 수 있습니다. 우선 파일을 보면 하나는 시나리오와 관련된 파일로 보입니다.

  3. "5. 기타" 폴더를 보다보면 파일이 하나 발견되는데, 실제로 Doc 탭에서는 내용 확인이 되지 않으며, 시그니처도 정상으로 나옵니다. 다만 Hex 값을 보면 정상 문서파일이라면 hex값에서 나와야하는 [Content_Types].xml 문구가 보이지 않으며 빽빽히 차있습니다. 즉, 압축파일로 볼 수 있습니다. Entries - View File Structure 에서 보면 암호를 물어보고 있습니다. 어딘가에서 암호를 찾아야 할것으로 보이네요!

  4. 복구한 파일시스템의 폴더를 살펴보다보면, 확장자는 pdf인데 실제로는 문서파일 형태를 발견할 수 있습니다. [Doc] 탭에서 보면 무슨 테이블이 확인이 되네요! 아직은 우리 시나리오와 관련이 있는건지 확실하지 않으니 추후에 참고하겠습니다.

  5. 다른 파일 하나는 Bad Signature로 확인이 되네요, 실제로 시그니처를 보면 2바이트가 비어 있습니다. 이 파일은 문서파일로 보이니 추출해서 복구를 해보도록 하겠습니다.

    추출한 파일을 HxD로 열고 난 뒤 정상 문서 파일의 시그니처값을 참고하여 입력하여 줍시다.

    복구한 문서파일의 그림을 이동 시킨 뒤에 전체 영역(Ctrl + A)을 선택 후 검정색으로 보이게 해봅시다. 즉, 그림 파일 뒤에 흰글씨로 한눈에 보기 어렵게 해둔 상태인 것입니다.

  6. 이제 이 암호를 어디가에 써먹어야 합니다. 메일 암호라고 하였으니 위에서 찾았던 mail.docx 파일의 암호로 사용하여 봅시다.

    암호를 풀어보면 msg, txt 파일이 발견됩니다. 우선 msg 파일을 보면 [Doc]탭에서 메일 내용을 확인할 수 있으며, 압축파일이 있는 것을 볼 수 있습니다.

    첨부파일을 클릭하여 보면 docx 파일로 문서 파일로 보이나 빈것 처럼 보입니다. 드래그 하면 글자가 있는 것으로 보이고, 해당 글자를 Copy하여 메모장에 붙여넣기 하면 암호 힌트라고하여 표시하여 줍니다. (위에서 발견했던 테이블과 관련 있어 보입니다.)

  7. txt 파일을 Code page - Korean 으로 보면 한글을 확인할 수 있습니다. Korean이 안보일 경우 Code Page - Code pages 에서 Korean 을 찾아 추가하면 됩니다. txt의 경우 더블클릭 하면 파일 내용이 메모장으로 열립니다.

    메일 내용을 보면 오징어구이.jpg 파일을 첨부한 것이 보이고, 내용중에 "1개의 파일에 2개의 내용이 있다는" 한번에 이해하기 어려운 이야기를 하고 있습니다.

  8. 우리가 알고 있는 오징어구이.jpg는 압축파일이였던거 하나인데 이걸 추출하여 암호를 해제하여 보겠습니다.

    오징어구이.jpg 파일을 추출한 뒤 확장자를 zip 압축파일 형태로 변경 후 압축해제 하여보면 아래 그림 파일들이 발견됩니다. 메일 내용을 보면 1개의 파일의 2개의 내용이 들어 있다고 합니다. 다면 시나리오상 의미 있어 보이는 디자인 파일은 1개만 보이네요.

    아쉽게도 EnCase에서는 압축파일 내의 한글은 정확히 표시가 되지 않고 있습니다. 우선 해당 파일 중 1개의 파일에 2개의 파일이 포함된 것을 확인을 위해서 정상적으로 FF D9로 끝나는지 확인해보겠습니다. 디자인1.jpg 파일에서 Ctrl + F를 이용하여 FF D9를 검색하여 보면 JPG 끝을 찾을 수 있습니다. 그러나 뒤에 이어서 바로 PNG 시그니처가 추가되어 있습니다. Decode - Picture - Picture를 선택하여 보면 새로운 그림파일이 포함된 것을 확인할 수 있습니다.

  9. 실제로 추출한 파일을 가지고 살펴보겠습니다. 추출한 디자인1.jpg를 Hex로 연뒤 FF D9를 찾고, 뒤에 부터 끝가지 복사합니다. 이후 새파일 생성 후 붙여넣기한 뒤 png 파일로 저장하여 봅시다.

    디자인1.jpg에 그림 파일이 하나 더 있던 것을 발견할 수 있습니다.

  10. 이어서 Q table과 메일에 있던 password 힌트를 한번 함께 보면서 살펴보겠습니다. 먼저 파일을 추출 합니다.

    이후 추출한 파일의 확장자를 문서파일 확장자로 변경하면 pptx로 열리게 됩니다.

  11. 위의 메일에서 찾았던 암호 힌트랑 조합을 해봅니다. 새로운 4가지 문제 형식이 발견됩니다.

  12. Q1은 앞에서 찾았던 파일 내용을 잘 읽어보면 처음 사주한 메일주소를 확인할 수 있습니다.

  13. Q2은 MD5 해시값이 fff40598a797961c0e270ccb5008a969 파일을 찾고, 시그니처 6자리를 확인합니다.

  14. Q3은 윈도우 아티팩트 중 하나인 링크파일을 분석해야 합니다. View - Artifacts 에서 Windows Artifact Parser 에서 Link File Parser - Link Files를 선택합니다.

    이중에서 해당 링크파일을 찾고, 해당 대상 파일의 크기를 확인합니다.

  15. Q4의 경우 위에서 복구했던 파일의 크기 확인합니다.

  16. 종합하면 Q1 : bitnang Q2 : 89504E Q3 : 12397 Q4 : 44469 Q1+Q2+Q3+Q4 >> bitnang89504E1239744469 로 23자리 값이 확인 됩니다.

  17. 해당 파일을 찾아 암호를 입력하여 보겠습니다. 우클릭 Entries - View File Structure에서 암호를 입력하여보겠습니다. (암호를 잘못입력 한 경우 내용이 이상하게 나올 수 있습니다. 해당 파일을 추출하여 암호 해제를 하여도 됩니다.)

  • 위의 내용들을 간단히 정리

  • 상당히 많은 안티포렌식 기법이 이어져 있는 문제 유형이였습니다. 이 시험 이후로는 사실 위와 같은 방식의 Q-Table 문제는 출제되지 않는 것으로 보입니다.

  • 사실을 연습을 목적으로 조금 더 욕심을 내어 연습문제로 제작하였습니다. 실제는 이거보다는 아주 조금 쉬운 편으로 알고 있습니다.

4. 답안 작성

  • 문제지에서 요구하는 형식에 맞춰서 답안 작성 문서 파일, 주요 증거 파일을 저장합니다.

  • 참고로 시험 합격여부에 거의 영향은 없을 것이지만 증거제출용 USB에 먼저 문서파일, 폴더를 저장한 뒤에 맨 마지막에 FTK Imager에서 주요 증거파일을 USB 파일 저장 폴더에 바로 추출합니다. EnCase에서 우클릭 - Entries - Copy로 추출한 뒤 저장할 때 USB에 주요 증거파일 폴더에 추출하여도 동일합니다.

  • 정답은 아니라 이런 식으로 답안 작성을 하면 된다는 정도로만 활용하시고 내용을 쉽게 작성 합니다. 다만 가장 중요한건 문제에서 요구하는 파일이나 내용, 키워드가 포함되어야 합니다.

  • [답안] 문제 1.docx

  • [답안] 문제 2.docx

  • [답안] 문제 3.docx

  • [답안] 문제 4.docx

아직 시험에 출제된 적은 없으나 선별수집 시 파일들 만을 대상으로 논리이미징 하는 방식입니다.

다만, 시험에서 요구하지 않는 경우 불필요하게 포함할 필요는 없을 수 있기 때문에 참고로 알아 둡시다.

  1. EnCase에서 증거로 제출할 파일들을 선택 후 우클릭 - Bookmark - Selected Items를 선택 한 뒤 북마크 폴더에 추가합니다. 있습니다.

    폴더를 새로 생성하여 저장하도록 합니다.

    파일을 체크 후 우클릭 Review Package - Export를 선택 한 뒤 Lx01 파일로 추출할 수 있습니다.

1. EnCase의 FastBloc를 이용한 쓰기방지 설정