디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. 쓰기방지 및 사본 이미지 획득
  • 1-1) 쓰기방지
  • 1-2) 사본 이미지 획득
  • 2. 분석 준비
  • 2-1) 파일시스템 복구
  • 2-2) 분석 이미지 추가하기
  • 3. 분석 및 문제 해결
  • 3-1) 저장매체, 파일시스템 관련
  • 3-2) 시나리오 관련 분석
  • 4. 답안 작성
  1. 디지털포렌식전문가 2급 실기와 친해지기(실기)
  2. 3. 실전 연습 문제
  3. 2020 실전 연습 문제

2020 실전 연습 - 분석해보기(EnCase)

Previous2020 실전 연습 - 분석해보기(무료도구)Next2023 실전 연습 문제(종합유형)

Last updated 6 months ago

분석 연습에 필요한 저장매체 (가상디스크, E01 이미지) 파일의 경우 이전 포스팅에서 다운 받을 수 있습니다.

-> 2020 실전 연습 문제

1. 쓰기방지 및 사본 이미지 획득

  • 에서 진행한 것과 동일한 방식으로 진행

1-1) 쓰기방지

  1. 가상디스크로 연습에는 큰 의미는 없으나 연습을 위해서 한번 옵션을 사용해보도록 하겠습니다. EnCase의 Tools - FastBlock SE...을 선택 하여봅시다.

  2. 먼저 Write Protected, 또는 Write Blocked 를 선택 한 뒤 게이지가 움직이고 있는 상태에서 USB를 연결하면 Write Protected, 또는 Write Blocked 에 표시가 되면서 쓰기방지가 설정됩니다.

  3. 이제 문제 저장매체(가상디스크)를 연결해보도록 하겠습니다. (실제 시험에서는 USB를 연결하는 것과 동일한 것 입니다.) 가상디스크로 연결 할 경우 디스크 관리(Win+X - 디스크 관리)에서 동작 - VHD 연결에서 읽기 전용을 체크 한 뒤 가상디스크 파일을 선택합니다.

  4. 가상디스크가 정상적으로 연결 된 경우 아래와 같이 확인할 수 있습니다. 가상디스크 또는 USB를 연결한 경우 아래와 같이 포맷이 필요하다고 하는 것이 표시된다면 정상 인식 된 것입니다.

1-2) 사본 이미지 획득

  1. 이제부터 사본 이미지 획득을 진행 합니다.

    파티션1을 살펴보니 시작 섹터는 비어 있으나 마지막 섹터로 가보니 NTFS의 VBR 복사본이 위치합니다. 즉, 파일시스템이 훼손되어 있습니다. 따라서 RAW 로 이미지 획득을 진행합니다.

    추가적으로 파티션 1의 경우 정상이며 파티션2가 훼손된 것을 알 수 있습니다. 파티션2의 시작 섹터가 20,973,568 VBR 복사본이 20,973,574섹터에 있는 것을 알 수 있습니다.

  2. 물리 드라이브 최상위 우클릭 - Export Disk Image (꼭 최상위를 선택해야 저장매체의 전체 사본을 획득할 수 있습니다. 파티션만 고를 경우 파티션만 획득됩니다.)

    또는 File - Create Disk Image - Physical Drive 를 선택합니다. (완전히 동일한 기능으로 원하는 걸로 하시면 됩니다.)

  3. Add 를 이용하여 획득한 이미지 파일 종류, 저장할 경로, 분할 사이즈를 선택합니다.

    분할 사이즈(Image Fragment Size)는 0으로 설정합니다. -> raw 이미지 파일이 1개로 나오며 0번부터 마지막 섹터까지 연결되어 복구가 용이합니다.

  4. raw 이미지 획득이 완료되면 아래와 같이 .001 파일이 생성되며, .txt로 로그 파일이 생성됩니다. 이 로그 파일에서 실제 시험에서 답안 작성 또는 분석 보고서에 활용할 원본 저장매체의 해시값, 드라이브 시리얼 넘버 등이 나옵니다. 아쉽게도 가상디스크의 경우 시리얼 넘버가 없습니다.

  5. 다만 실제 시험에서 USB로 획득한 경우 USB의 시리얼 넘버를 확인할 수 있습니다. 답안 작성 연습을 위해 아래의 정보가 log에 포함되어 있다고 생각하고 진행합시다. [Physical Drive Information] - Drive Model: SanDisk Cruzer Blade USB Device - Drive Serial Number: 4C530001040725104371 - Source data size: 14,664 MB - Sector count: 30,032,352

2. 분석 준비

2-1) 파일시스템 복구

  1. 파일시스템 복구에 필요한 것은 위에서 이미 확인 하였으나 다시 한번 살펴보겠습니다. 먼저 파티션 2번 위치로 이동하였는데 섹터의 앞부분이 훼손되어 있습니다. 사실 NTFS, FAT32 파일시스템에서 앞 부분이 가장 중요한 값이 저장됩니다. 그리고 바로 다음 섹터에 RRaA가 보입니다. 보통 이 경우는 FAT 파일시스템에 해당합니다. (RRaA가 없을 수도 있습니다.)

    FAT32 파일시스템의 VBR 복사본은 파티션 시작 +6번 섹터에 위치합니다.

  2. 가장 밑에 섹터를 보면 비어 있습니다. 즉 NTFS가 아닌 것입니다. 파티션2 시작 섹터 +6번 섹터를 확인해보면 FAT32 VBR의 복사본이 위치합니다.

    파티션 시작 섹터 20,973,568, VBR 복사본이 20,973,574 섹터에 위치합니다. 즉, 204,934 섹터를 204,928번 섹터에 덮어써서 복구할 수 있습니다.

  3. 파일시스템 복구는 HxD를 이용하여 Raw 이미지를 복구합니다. 도구 - 디스크 이미지 열기로 Raw 이미지를 열고 VBR 복사본이 위치한 섹터(20,973,574)로 이동 후 한 섹터를 복사합니다.

    20,973,568번 섹터가 파티션2 시작 위치며 정상 VBR이 위치해야 합니다. 이 섹터에 가장 앞부분에서 우클릭 -[붙여넣기 쓰기] 하여 덮어씁니다. * 삽입을 하게 되면 1섹터가 전체적으로 밀려나기 때문에 삽입하면 안됩니다.

  4. FTK Imager를 이용하여 복원한 이미지를 불러오면 정상적으로 파일 구조가 확인되면 복구는 정상적으로 진행한 것입니다. [root] 디렉토리에서 데이터가 정상적으로 밀린거 없이 보이면 정상 복구 된 것입니다.

2-2) 분석 이미지 추가하기

  1. EnCase에서 케이스 생성 후 복구한 Raw 이미지를 추가합니다. Add Evidence - Raw Image를 선택 한 뒤 복구한 파일시스템을 선택합니다.

  2. 이 후 1차 프로세싱(Processor)을 진행합니다. 비교적 빨리 끝나며 기존에 주로 출제되는 문제 유형을 해결하는데 도움이 되는 프로세스 옵션을 선택 후 진행합니다. - File Signature analysis - Hash Anlysis - Find email - Find Internet Artifacts - System info Parser - Windows Event Log Parser - Windows Artifact Parser

  3. View - Processor Manager, 우측 하단에 진행 상황을 확인할 수 있습니다.

  4. 실제 시험에서는 이 동안 해결 가능한 문제를 해결하거나, 답안 작성 준비를 작업을 진행합니다. 프로세싱이 완료되면 Evidence 의 우클릭 또는 Refresh를 클릭하여 프로세싱 처리 내역을 적용합니다.

3. 분석 및 문제 해결

3-1) 저장매체, 파일시스템 관련

  • 증거물 사본을 생성하고 각 문제 항목의 답안을 작성하시오.

  1. 증거의 무결성을 지키며 USB 사본을 획득하는 과정을 작성하시오.

  2. USB의 아래 정보를 작성하시오. (복구한 파일시스템이 있을 복구 후 작성)

    - 디스크 서명(Signature) - USB의 전체 섹터 수 / 전체 용량 - USB의 시리얼 넘버 - 파일시스템 별 전체 섹터 수 / 전체 용량 / 가용용량 - 파일시스템의 종류 / 파일시스템 볼륨 시리얼 넘버 - 파일시스템의 클러스터 크기

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

  1. 증거의 무결성을 지키며 USB 사본을 획득하는 과정을 작성하시오.

    • 쓰기 방지 후 이미지 획득 과정, 이미지 획득 후의 해시값을 간단히 작성합니다.

      1. EnCase의 Fastbloc SE를 이용한 쓰기방지 설정

      2. FTK Imager를 이용한 사본 이미지 획득

      3. 사본 이미지 획득 후 해시값 확인

  1. USB의 아래 정보를 작성하시오. (복구한 파일시스템이 있을 복구 후 작성)

    1. 디스크 서명(Signature) > 756E643C 디스크 서명의 경우 0번 섹터 MBR에 위치하며 EnCase에서는 가장 최상위에서 확인할 수 있습니다.

    2. USB의 전체 섹터 수 / 전체 용량 > 전체 섹터 수: 30,032,352 섹터 > 전체 용량: 15,376,564,224 Bytes = 15,016,176 KBytes = 14664.2 MBytes = 14.3GBytes

    3. USB의 시리얼 넘버 > 4C530001040725104371 (가상디스크에는 아쉽게 USB 시리얼 넘버가 없으나, 실제 시험에서는 FTK Imager로 이미지 획득 후 로그파일에서 확인할 수 있습니다.)

    4. 파일시스템 별 전체 섹터 수 / 전체 용량(전체섹터 X 512)/ 가용용량(Total Capacity) > C드라이브 파일시스템 전체 섹터 수: 20,971,520 섹터 전체 용량: 10737418,240 Bytes = 10,485,760 Kbytes = 10,240 MBytes = 10 GBytes 가용 용량: 10,737,414,144 Bytes = 10,485,756 Kbytes = 10,239 Mbytes = 9.9 GBytes > D드라이브 파일시스템 전체 섹터 수: 9,056,256 섹터 전체 용량: 4,636,803,072 Bytes = 4,528,128 Kbytes = 4,422 MBytes = 4.3 GBytes 가용 용량: 4,624,220,160 Bytes = 4,515,840 Kbytes = 4,410 Mbytes = 4.3 GBytes

    5. 파일시스템의 종류 / 파일시스템 볼륨 시리얼 넘버 > C드라이브 파일시스템 파일시스템 종류 : NTFS 볼륨 시리얼 넘버 : AC77-7D51 / (Full) EAC779CAC777D51 > D드라이브 파일시스템 파일시스템 종류 : FAT32 볼륨 시리얼 넘버 : 7200-2827

    6. 파일시스템의 클러스터 크기 > C드라이브 파일시스템 클러스터 크기 : 8(Sector per cluster) X 512(Bytes per Sector) = 4,096 Bytes > D드라이브 파일시스템 클러스터 크기 : 8(Sector per cluster) X 512(Bytes per Sector) = 4,096 Bytes

3-2) 시나리오 관련 분석

  • 시나리오와 관련 있는 분석 문제를 해결해 봅시다!

  1. 안티포렌식 흔적을 찾아라.(10점)

  2. 용의자들의 계획 관련 증거를 찾아라. (10점)

  3. 용의자들이 지령받은 흔적을 찾아라. (10점)

  4. 공범으로 보이는 연락처 관련 흔적을 찾아라. (10점)

  5. 주변 촬영한 증거를 찾고 이를 촬영한 기기의 정보, 위치 정보(GPS)를 찾아라. (20점)

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

  • 시나리오 관련 파일은 순서대로 찾아지는 것이 아니라 파일들을 찾다 보면 순서 상관없이 의심스런 파일들이 찾아질 수 있습니다. 따라서 우선은 전체적으로 살펴보고, 찾은 파일이 몇 번 문제에 해당하는지 맞춰보는 방식으로 가야 합니다.

  • 우선 접근할 때 순서를 정해보도록 합시다.

    1. 일반적으로 사용자가 접근하는 폴더 살펴보기

    2. 시그니처가 이상한 파일

    3. 메일, 시나리오 관련 정상 파일 살펴보기(폴더 별로 일일이 살펴봐야 합니다.)

  1. 먼저 첫번째 폴더내의 파일들을 모두 한번 빠르게 살펴보겠습니다. (특별한건 없어 보입니다. - 시험시간이 4시간이기 때문에 파일이 많아 보여도 빠르게 넘기면서 보면 확인 합니다. )

  2. 다른 폴더를 살펴보면서 파일이 많은 곳에서도 이름 부터가 의심스런 파일을 찾아보겠습니다. (많은 파일 내에 주요 증거 파일을 하나 것도 하나의 안티포렌식 입니다. ) *참고로 문서파일들을 [doc]탭에서 보다보면 굉장히 느리거나 멈추는 경우가 있을 수 있기 때문에 프로세싱 후 꼭 저장합니다. 파일을 살펴보다보면 의심스런 파일명이 보입니다. 특히 한글 파일명들은 꼭 살펴봅시다. 그리고 최근 접근 시간 또한 유독 다른 경우 살펴봅니다. 내용 확인이 안되며 [Hex]로 놓고 보면 정상 docx 파일이 아닌 압축파일처럼 빽빽히 데이터가 있네요!

    실제로 압축파일인데 확장자를 docx로 변경한 것으로 보입니다. 우클릭 Entries - View File Structure를 이용하여 압축해제 해보도록 하겠습니다.

    계획서.docx를 확인해보면 내부 문서가 있으며 docx 파일이 보입니다. 시나리오와 관련 있어 보이네요!

    아쉽게도 EnCase의 경우 압축파일의 한글 이름을 보기 어렵게 하고 있습니다. 파일을 추출해서 직접 확장자 변경 후 압축해제 하면 정상 파일명도 확인이 가능합니다.

  3. Pictures를 보면 많은 파일이 있으나, Signature Analysis로 정렬해서 보면 하나의 파일이 Bas Signature로 확인되며 Hex 값을 보면 시그니처가 훼손되어 있습니다. 이 파일을 추출 후 정상 시그니처로 수정 후 내용 확인을 해보겠습니다.

    파일 추출 후 훼손된 시그니처를 FF D8로 수정 후 확인해보면 시나리오와 관련된 파일을 확인할 수 있습니다.

  4. 이외의 파일들은 그냥 봐서는 큰 문제는 없어 보입니다. 다만 폴더와 파일명이 굉장히 수상한 것이 보입니다. 해당 파일을 조금 더 살펴보겠습니다. 해당 파일을 [Hex]에서 Find를 이용하여 JPG의 푸터인 FF D9를 검색해보겠습니다. 확인해보니 FF D9 뒤에 파일이 끝나지 않고 계속해서 다시 FF D8~~로 시작하는 것을 확인할 수 있습니다.

    FF D9 바로 뒤 새로운 그림이 시작되는 것으로 보이는 부분을 선택 한 뒤 Decode - Picture - Picture를 선택하면 미리보기를 확인 할 수 있습니다. 시나리오와 관련된 숨겨진 그림파일을 발견할 수 있습니다.

    친구.jpg 파일을 추출한 뒤 HxD에서 FF D9를 검색 한 뒤 FF D8부터 끝까지 복사합니다.

    새 파일을 만든 뒤 붙여넣기 하여 저장합니다. 확장자를 jpg로 변경하면 내용 확인을 할 수 있습니다.

  5. 추가로 복구한 파일시스템을 살펴보다보면 확장자도 없는 특이한 파일이 발견됩니다. 우선 궁금하니 시그니처를 살펴보겠습니다. 그런데 Hex를 보면 시간이 보이고, 바로 뒤에 FF D8~ 그림파일의 시그니처가 보입니다. Decode를 이용하여 미리보기가 가능한지 살펴보겠습니다.

    그렇다면 마지막에 잘 끝나는지도 확인해보겠습니다. Find를 이용하여 FF D9를 검색해보겠습니다. FF D9가 발견되면 정상 그림파일이라면 끝나야 하지만, FF DB가 이어져 있습니다. ChatGPT에 JPG 파일의 구조 중에서 FF DB 부분을 물어보면, 정상적인 한 부분이라고 합니다. (압축을 위해 필요한 양자화 테이블 설정 부분이라고 하네요)

    즉, FF D9뒤에 바로 FF DB가 나오면 JPG가 끝난것이 아닌 것입니다. F3을 눌러서 이어서 검색을 해보겠습니다. FF D9로 끝난거 뒤에 또 이어서 무슨 데이터가 있습니다. 자세히 보면 다시 또 시간 정보가 나오고, FF D8~ 시작하는 구조가 발견됩니다. DCode로 미리보기를 해보면 다시 또 다른 그림이 발견됩니다.

    다시 한번 이어서 FF D9를 검색해보면, 중간에 동일하게 FF D9 FF DB가 발견되고 마지막에 FF D9로 끝이 납니다. 즉, 시간정보1 + 그림1 + 시간정보2 + 그림2인 구조 입니다.

  6. 2번째 파일도 살펴보면 1번과 동일 한 구조로 보입니다.

    다만 하나 차이점은 FF D9로 정상적으로 끝난 뒤에 몇바이트 정도 빈값이 들어가고, 다시 이어서 동일한 구조를 가지고 있습니다.

    즉, 시간정보1 + 그림1 + 빈+시간정보2 + 그림2인 구조 입니다.

  7. 구조는 확인하였으니 실제로 이 파일을 추출하여 상세히 확인해보겠습니다. 가장 처음 부터 2번째 FF D9 부분(그림1 끝)까지 복사 합니다.

    해 부분에서 시그니처가 FF D8이 되도록 앞 부분의 시간정보는 지우도록 하겠습니다. 그리고 확장자를 jpg로 하여 저장합니다.

    저장한 그림파일의 우클릭 - 속성에서 자세히 부분을 살펴보면 카메라 부분, GPS 부분 까지도 확인이 가능합니다.

  8. 그럼 이제 그림 2부분도 동일하게 살펴보도록 합시다. 2번째 FF D9 뒷 부분 전체를 복사해보도록 하겠습니다. (FF D9를 검색 해보면 2번째 그림만 있는 것으로 보여집니다.)

    그림 1 과 동일하게 시그니처가 FF D8이 되도록 앞 부분의 시간 정보는 지우도록 하겠습니다. 그리고 확장자를 jpg로 하여 저장합니다.

    정상적으로 저장이 되었다면, 그림 및 자세히에서 기타 정보를 확인할 수 있습니다.

  9. "IMG_20200227-2"도 그림1, 2를 추출한 것과 동일한 방식으로 이미지 영역으로 생각되는 부분을 추출하여 저장하여 봅시다. 정상적으로 추출하였다면, 아래와 같은 그림과, 내용을 확인할 수 있습니다.

  10. [참고] 추가적으로 NTFS Log Tracker를 한번 이용하여 추가적으로 정보를 획득 할 수 있는지 살펴보겠습니다. NTFS 파일시스템인 C에서 $MFT, $LogFile 그리고 $Extend에서 $UsnJrnl·$J 파일을 추출하여보겠습니다.

    결과 내역을 보면 secret폴더에 연락처.jpg가 있었는데 삭제된 것으로 보입니다. 이 외에는 크게 의미 있어 보이는 것은 발견되지 않는듯 합니다.

    우리가 친구.jpg에서 찾은 연락처 관련 이미지의 원래 파일명으로 의심해볼 수 있을 것입니다.

  11. [참고] 추가적으로 친구.jpg에 연락처.jpg의 그림파일 내용을 넣고 지웠다고 했을 때, 혹시나 친구.jpg외의 영역에 기존에 원래 있던 연락처.jpg 그림의 데이터를 한번 카빙 기법을 이용하여 찾아보겠습니다. Process 에서 File Carver 클릭 후 JPG가 그림파일이기 때문에 Picture의 JPEG 부만분 선택하여 봅시다. 실제 카빙은 매우 오랜시간이 소요됩니다. 4시간 이내 시험에서 카빙을 해야만 해결 가능한 것은 출제되기 어렵다고 생각되네요!

    Processing 이 끝나면 File Carver에서 확인이 가능합니다. Carving으로 복구가 가능한 상태라면 복구가 되어 확인할 수 있습니다.

  12. [참고] 참고로 안티 포렌식 기법 중에는 wipe라고 하여 삭제된 데이터를 복구 할 수 없도록 임의의 데이터를 덮어쓴 것 입니다. wipe 도구 중에는 BCwipe라는 도구가 있으며 이를 사용한 흔적을 발견할 수 있습니다. 파일을 보면 용량도 상당히 큰 것을 알 수 있습니다. 즉, 지워진 빈공간에 임의의 데이터를 채워 복구가 불가능하게 시도한 것으로 볼 수 있는 것입니다. [사실 이걸 답안에 무조건 포함시켜야 한다면 알면 맞추고 모르면 틀릴수 밖에 없는 문제입니다.]

  • 이제 시나리오 문제와 관련있어 보이는 파일들에 맞춰서 정리 및 답안작성을 합니다. 안티포렌식 기법의 경우 모든 경우에 해당합니다. 확장자를 변경하였거나, 시그니처를 훼손하는 등의 행위는 모두 안티포렌식에 해당합니다.

  • 여기서는 활용하지 않았으나, 시나리오와 관련된 "계획", "연락", "지령", "촬영" 등의 키워드 검색등도 이용하면 주요 증거 파일을 찾는데 도움이 될 수 있습니다.

4. 답안 작성

  • 문제지에서 요구하는 형식에 맞춰서 답안 작성 문서 파일, 주요 증거 파일을 저장합니다.

  • 참고로 시험 합격여부에 거의 영향은 없을 것이지만 증거제출용 USB에 먼저 문서파일, 폴더를 저장한 뒤에 맨 마지막에 FTK Imager에서 주요 증거파일을 USB 파일 저장 폴더에 바로 추출합니다. EnCase에서 우클릭 - Entries - Copy로 추출한 뒤 저장할 때 USB에 주요 증거파일 폴더에 추출하여도 동일합니다.

  • 정답은 아니라 이런 식으로 답안 작성을 하면 된다는 정도로만 활용하시고 내용을 쉽게 작성 합니다. 다만 가장 중요한건 문제에서 요구하는 파일이나 내용, 키워드가 포함되어야 합니다.

  • 1번 문제.rtf

  • 2번 문제.rtf

  • 3번 문제.rtf

  • 4번 문제.rtf

  • 5번 문제.rtf

  • 6번 문제.rtf

  • 7번 문제.rtf

아직 시험에 출제된 적은 없으나 선별수집 시 파일들 만을 대상으로 논리이미징 하는 방식입니다.

다만, 시험에서 요구하지 않는 경우 불필요하게 포함할 필요는 없을 수 있기 때문에 참고로 알아 둡시다.

  1. EnCase에서 증거로 제출할 파일들을 선택 후 우클릭 - Bookmark - Selected Items를 선택 한 뒤 북마크 폴더에 추가합니다.

    폴더를 새로 생성하여 저장하도록 합니다.

    파일을 체크 후 우클릭 Review Package - Export를 선택 한 뒤 Lx01 파일로 추출할 수 있습니다.

    불필요한 tag 관련은 모두 체크를 해제합니다.

    논리이미지를 Evidence에 추가하면 내용 확인이 가능합니다.

  2. FTK Imager에서 주요 증거 파일을 선택 후 우클릭 - Add to Custom Content Imager(AD1)을 통해 추가 후 Create Image 를 선택합니다.

    Add를 통해 저장할 경로를 지정합니다.

    FTK Imager 에서 해당 이미지를 추가하면 추가한 파일을 확인할 수 있습니다.

NTFS Log Tracker 사용법 > 다양한 것을 검색할 수 있겠으나, 우선 친구 폴더가 있는 secret 폴더부분을 검색해보겠습니다. 폴더는 경로에 포함되기에 Full Path에서 검색해보겠습니다.

1. EnCase의 FastBloc를 이용한 쓰기방지 설정
6. 파일명 변경 내역(NTFS Log)