2024 실전 연습 - 분석해보기(EnCase)

분석 연습에 필요한 저장매체 (가상디스크, E01 이미지) 파일의 경우 이전 포스팅에서 다운 받을 수 있습니다.

-> 2024 실전 연습 문제

1. 쓰기방지 및 사본 이미지 획득

• 1. EnCase의 FastBloc를 이용한 쓰기방지 설정 에서 진행한 것과 동일한 방식으로 진행

1-1) 쓰기방지

1. 가상디스크로 연습에는 큰 의미는 없으나 연습을 위해서 한번 옵션을 사용해보도록 하겠습니다. EnCase의 Tools - FastBlock SE...을 선택 하여봅시다.

   
2. 먼저 Write Protected, 또는 Write Blocked 를 선택 한 뒤 게이지가 움직이고 있는 상태에서 USB를 연결하면 Write Protected, 또는 Write Blocked 에 표시가 되면서 쓰기방지가 설정됩니다.

   
3. 이제 문제 저장매체(가상디스크)를 연결해보도록 하겠습니다. (실제 시험에서는 USB를 연결하는 것과 동일한 것 입니다.) 가상디스크로 연결 할 경우 디스크 관리(Win+X - 디스크 관리)에서 동작 - VHD 연결에서 읽기 전용을 체크 한 뒤 가상디스크 파일을 선택합니다.

   
4. 가상디스크가 정상적으로 연결 된 경우 아래와 같이 확인할 수 있습니다. 가상디스크 또는 USB를 연결한 경우 아래와 같이 포맷이 필요하다고 하는 것이 표시된다면 정상 인식 된 것입니다.

   

1-2) 사본 이미지 획득

1. 이제부터 사본 이미지 획득을 진행 합니다.

   파티션1을 살펴보니 시작 섹터는 비어 있으나 마지막 섹터로 가보니 NTFS의 VBR 복사본이 위치합니다. 즉, 파일시스템이 훼손되어 있습니다. 따라서 RAW 로 이미지 획득을 진행합니다.

   

   추가적으로 파티션 1의 경우 훼손된 것을 알 수 있습니다. 파티션1의 시작 섹터가 2,048 섹터, VBR 복사본이 2,054섹터에 있는 것을 알 수 있습니다. 파티션1 마지막 섹터에는 복사본이 없습니다. 즉, NTFS가 아닌 것입니다.

   

   
2. 물리 드라이브 최상위 우클릭 - Export Disk Image (꼭 최상위를 선택해야 저장매체의 전체 사본을 획득할 수 있습니다. 파티션만 고를 경우 파티션만 획득 됩니다.)

   

   또는 File - Create Disk Image - Physical Drive 를 선택합니다. (완전히 동일한 기능으로 원하는 걸로 하시면 됩니다.)

   
3. Add 를 이용하여 획득한 이미지 파일 종류, 저장할 경로, 분할 사이즈를 선택합니다.

   분할 사이즈(Image Fragment Size)는 0으로 설정합니다. -> raw 이미지 파일이 1개로 나오며 0번부터 마지막 섹터까지 연결되어 복구가 용이합니다.

   
4. raw 이미지 획득이 완료되면 아래와 같이 .001 파일이 생성되며, .txt로 로그 파일이 생성됩니다. 이 로그 파일에서 실제 시험에서 답안 작성 또는 분석 보고서에 활용할 원본 저장매체의 해시값, 드라이브 시리얼 넘버 등이 나옵니다. 아쉽게도 가상디스크의 경우 시리얼 넘버가 없습니다.

   
5. 다만 실제 시험에서 USB로 획득한 경우 USB의 시리얼 넘버를 확인할 수 있습니다. 답안 작성 연습을 위해 아래의 정보가 log에 포함되어 있다고 생각하고 진행합시다. - Drive Model: SanDisk Cruzer Blade USB Device - Drive Serial Number: 4C530001040725104371

6. 다만 실제 시험에서 USB로 획득한 경우 USB의 시리얼 넘버를 확인할 수 있습니다. 답안 작성 연습을 위해 아래의 정보가 log에 포함되어 있다고 생각하고 진행합시다. [Physical Drive Information] - Drive Model: SanDisk Cruzer Blade USB Device - Drive Serial Number: 4C530001040725104371

   

2. 분석 준비

2-1) 파일시스템 복구

1. 파일시스템 복구에 필요한 것은 위에서 이미 확인 하였으나 다시 한번 살펴보겠습니다. 먼저 파티션 1번 위치로 이동하였는데 섹터의 앞부분이 훼손되어 있습니다. 사실 NTFS, FAT32 파일시스템에서 앞 부분이 가장 중요한 값이 저장됩니다. 그리고 바로 다음 섹터에 RRaA가 보입니다. 보통 이 경우는 FAT 파일시스템에 해당합니다. (RRaA가 없을 수도 있습니다.)

   FAT32 파일시스템의 VBR 복사본은 파티션 시작 +6번 섹터에 위치합니다. (기출 문제 중 exFAT 파일시스템 복구 문제가 있었습니다. exFAT VBR 복사본은 12번 섹터에 위치)

   
2. 가장 밑에 섹터를 보면 비어 있습니다. 즉 NTFS가 아닌 것입니다. 파티션1 시작 섹터 +6번 섹터를 확인해보면 FAT32 VBR의 복사본이 위치합니다.

   파티션 시작 섹터 2,048, VBR 복사본이 2,054 섹터에 위치합니다. 즉, 2,054 섹터를 2,048번 섹터에 덮어써서 복구할 수 있습니다.

   
3. 파일시스템 복구는 HxD를 이용하여 Raw 이미지를 복구합니다. 도구 - 디스크 이미지 열기로 Raw 이미지를 열고 VBR 복사본이 위치한 섹터(2,054)로 이동 후 한 섹터를 복사합니다.

   

   2,048번 섹터가 파티션1 시작 위치며 정상 VBR이 위치해야 합니다. 이 섹터에 가장 앞부분에서 우클릭 -[붙여넣기 쓰기] 하여 덮어씁니다. * 삽입을 하게 되면 1섹터가 전체적으로 밀려나기 때문에 삽입하면 안됩니다.

   
4. FTK Imager를 이용하여 복원한 이미지를 불러오면 정상적으로 파일 구조가 확인되면 복구는 정상적으로 진행한 것입니다. [root] 디렉토리에서 데이터가 정상적으로 밀린거 없이 보이면 정상 복구 된 것입니다.

   
5. 다만 이번에는 기존과는 다르게 저장된 파일에 E01 이미지 파일이 분할(E01~E04)로 저장되어 있는 상태 입니다. 즉, 이번 문제에서는 이미 e01으로 수집한 이미지를 추출하여 분석하는 과정으로 접근해볼 수 있습니다. 증거 사본을 추출하여 보겠습니다.

   
6. 추출한 이미지가 정상적으로 열리는지 FTK Imager에서 확인해보도록 하겠습니다.

   

   아래와 같이 정상적으로 파일시스템 구조가 보이면, E01 파일을 그대로 포렌식 도구로 분석하여도 좋고, Raw로 다시 추출해서 분석하여도 좋습니다. (조금이라도 빠른 분석을 위해서라면 Raw를 추천합니다. 다만 용량이 충분한지 확인하고 진행하여야 합니다. 실습에서는 raw로 진행 하겠습니다.)

   

2-2) 분석 이미지 추가하기

1. EnCase에서 케이스 생성 후 복구한 Raw 이미지를 추가합니다. Add Evidence - Raw Image를 선택 한 뒤 복구한 파일시스템을 선택합니다.

   
2. 이 후 1차 프로세싱(Processor)을 진행합니다. 비교적 빨리 끝나며 기존에 주로 출제되는 문제 유형을 해결하는데 도움이 되는 프로세스 옵션을 선택 후 진행합니다. - File Signature analysis - Hash Anlysis - Find email - Find Internet Artifacts - System info Parser - Windows Event Log Parser - Windows Artifact Parser

   
3. View - Processor Manager, 우측 하단에 진행 상황을 확인할 수 있습니다.

   
4. 실제 시험에서는 이 동안 해결 가능한 문제를 해결하거나, 답안 작성 준비를 작업을 진행합니다. 프로세싱이 완료되면 Evidence 의 우클릭 또는 Refresh를 클릭하여 프로세싱 처리 내역을 적용합니다.

3. 분석 및 문제 해결

3-1) 기초 분석 문제

• 증거물 사본을 생성하고 각 문제 항목의 답안을 작성하시오.

1. 기초 분석 문제(15점) 1-1) 원본 사본 이미지 파일 해시값 1-2) 운영체제가 설치된 파일시스템의 볼륨시리얼 넘버 1-3) 운영체제가 설치된 파일시스템 종류 1-4) 네트워크 카드 제조사 1-5) 운영체제에 할당된 IP 주소

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

1. 원본 사본 이미지 파일 해시값 (MD5) f6b687b9ffaf3dffc55843d77d65aa42 (SHA1) e7996c6ab1496ea1e6986dd36294c7fd33bcf0ec

   • 쓰기 방지 후 이미지 획득 과정, 이미지 획득 후의 해시값을 간단히 작성합니다.

     1. EnCase의 Tools - FastBlock SE...을 선택 하여봅시다.

     

     1. 먼저 Write Protected, 또는 Write Blocked 를 선택 한 뒤 게이지가 움직이고 있는 상태에서 USB를 연결하면 Write Protected, 또는 Write Blocked 에 표시가 되면서 쓰기방지가 설정됩니다.

        
     2. FTK Imager를 이용한 사본 이미지 획득

        
     3. 사본 이미지 획득 후 해시값 확인

        

1. 운영체제가 설치된 파일시스템의 볼륨시리얼 넘버 > 시리얼 넘버 : 1259-943F / 풀시리얼 넘버 : 621259BA1259943F

2. 운영체제가 설치된 파일시스템 종류 > NTFS

   

3. 네트워크 카드 제조사 > Intel

4. 운영체제에 할당된 IP 주소 > 192.168.126.136 프로세싱 종료 후 System Artifacts 에서 확인 가능

   

   

3-2) 시나리오 관련 분석

• 시나리오와 관련 있는 분석 문제를 해결해 봅시다!

1. 의뢰자로부터 받은 의뢰 관련 메일 관련(10점) 2-1) 발신자 이메일 주소 2-2) 발신자 이메일 내용 2-3) 첨부파일 명 2-4) 발신자 IP 주소

2. 의뢰자 정보 및 유출 관련(35점) 3-1) 의뢰자 핸드폰 번호 3-2) 의뢰자에게 유출 방법으로 보이는 내용 3-3) 안티포렌식 행위

3. 유출 자료 관련(10점) 4-1) 유출 자료를 촬영한 핸드폰 모델명 4-2) 유출 자료를 촬영한 날짜

분석 과정 (직접 먼저 해보시고 참고 해보세요!)

• 시나리오 관련 파일은 순서대로 찾아지는 것이 아니라 파일들을 찾다 보면 순서 상관없이 의심스런 파일들이 찾아질 수 있습니다. 따라서 우선은 전체적으로 살펴보고, 찾은 파일이 몇 번 문제에 해당하는지 맞춰보는 방식으로 가야 합니다.

• 우선 접근할 때 순서를 정해보도록 합시다.

  1. 일반적으로 사용자가 접근하는 폴더 살펴보기

  2. 시그니처가 이상한 파일

  3. 메일, 시나리오 관련 정상 파일 살펴보기(폴더 별로 일일이 살펴봐야 합니다.)

1. 우선 문제를 보면 이메일 관련 파일이 있는 것으로 보입니다. EnCase에서 Condition을 이용하여 메일을 우선 빠르게 찾아보겠습니다. Condition - Email - Mail Finder - Mail Filters를 더블클릭한 뒤

   

   OK를 누르면 주요 메일 확장자를 목록을 표시해주고 OK를 눌러 검색을 하게 됩니다.

   

2. 찾아진 메일들을 보다 보면 바로 의심스런 메일 파일일 하나 발견 되고 [doc] 탭에서 내용 확인도 가능합니다. Filter~ 를 클릭하면 해당 파일이 있는 위치로 이동하네요.

   

   첨부파일이 있는 것을 알 수 있으며 Transcript 에서는 메일 헤더 부분의 정보도 확인이 가능합니다.

   
3. 해당 eml을 추출한 뒤 MailView를 이용하여 상세분석을 해보도록 하겠습니다. MailView 사용법 > 1-2) MailView eml 파일을 열어보면 내용 및 첨부파일 명 또한 정확히 확인이 가능합니다.

   

   시험문제에서 요구하는 발신자의 IP 정보 또한 확인할 수 있습니다. 메일 IP 관련 > 1-3) Mail 관련 IP 분석

   
4. 추가로 첨부 파일에 포함되었던 내용을 살펴보겠습니다. 압축을 풀어보려고 하면 문서파일로 보이는 것이 확인됩니다. 또한 HxD로 해당 파일을 열어보면 시그니처가 훼손된 걸 확인할 수 있습니다. (꼭 시그니처를 복구하지 않아도, 워드가 복구하여 열어주기도 합니다.)

   

   정상 시그니처로 복구 후 파일을 열어보면 그림이 보이며, 그림을 옮기면 어떤 주소를 알려주고 있습니다.

   

   해당 파일은 폴더를 살펴보다보면 동일한 파일을 찾을 수 있으며 Transcript 에서 텍스트만을 살펴보면 그림 뒤 글자도 확인 가능 합니다.

   
5. 계속 이어서 파일을 찾다보면 약간 이상한 파일이 발견됩니다. docx 문서 파일인데 정상적인 내용 확인이 되지 않으며, hex를 보면 실제로 문서 파일이 아닌 압축파일 형태가 발견됩니다.

   
6. 해당 파일을 추출한 뒤 확장자를 zip로 변경 후 압축 해제를 해보도록 하겠습니다. 시나리오와 관련된 주요 파일이 발견된 것으로 보입니다.

   

   해당 그림 파일을 우클릭 - 속성에서 자세히로 보면, 문제 해결에 도움이 되는 정보 등도 확인이 가능합니다.

   
7. 윈도우에 기본적으로 포함된 스티커 노트 내용을 한번 확인해보도록 하겠습니다. Tools - File Search by Attributes에서 Name을 체크한 뒤 "plum"을 검색해보도록 하겠습니다. plum의 경우 스티커 노트를 저장하고 있는 아티팩트 파일이기 때문에 사실 알고 있다면 검색하는 부분이고 모르면 검색해보기가 어려운 부분입니다. > #id-5-1-sticky-note

   

   아래와 같이 Table에 Note 부분에 text 값이 있으면 스티커노트에 무엇인가 저장된 것입니다.

   text 부분을 클릭하여 복사 한 뒤 메모장에 붙여넣어보도록 해봅시다. 메일에서 알려준 텔레그램 주소, 이름, 연락처 정보 등도 확인이 가능합니다. [DB Browser for SQLite]

   
8. 혹시 이미지 같은 것도 스티커 노트에 추가로 있을 수 있을지 살펴보기 위해 Table 부분을 Media로 변경하여 확인 해보겠습니다. 무엇인가 하나 추가되어 있는 것으로 보이네요!

   
9. media 폴더를 보면 무엇인가 이미지가 추가 되어 있는데 의심스럽습니다.

   
10. 참고로 Media에서 해당 파일의 ParentID를 보면 시나리와 관련 메모의 ID를 가리키고 있습니다. 즉, 해당 메모에 이 그림이 포함되었던 것으로 볼 수 있는 것입니

    
11. 의심스런 그림 파일을 추출 한 뒤 HxD로 정상적으로 FF D9로 끝나는지 살펴보겠습니다. FF D9 뒤에도 FF D8 시그니처가 발견됩니다.

    

    스테가노로 숨겨져 있는 것으로 보이는 jpg 그림파일을 영역을 복사한 뒤 새로 파일을 만든 뒤 붙여넣기 하여 생성하여보겠습니다.

    

    확장자를 jpg로 변경 후 파일을 열어보면 시나리오와 관련된 보이는 이미지가 발견됩니다. 웹-텔레그램을 통해 파일을 전송한 내역을 확인할 수 있습니다. 위에서 발견했던 사진들이 압축되어 있던 파일을 전송한 흔적을 발견할 수 있습니다.

    
12. 키워드 검색을 할 수 있습니다. 시나리오, 분석과정에서 필요해 보이는 부분, 문제와 관련된 키워드를 선정하여 검색해보도록 하겠습니다 다만 키워드 검색에서는 검색 시간이 매우 오래 걸립니다. 전체 검색은 대략 1시간 정도 소요 실제 시험에서는 이 정도로 오래 걸리지는 키워드 및 상황에 따라 다를 것입니다. Raw Search Selected 또는 Process의 Search For Keywords를 이용하여 검색 "." 을 검색하기 위해선 "\." 으로 입력하여야 합니다. Name에는 "."을 입력할 수 없으니 요령것 설정합니다. *먼저, 키워드 검색을 할 때, 보다 빠른 검색을 위해 Users 폴더와 하위를 먼저 검색을 해보고, 그런데도 나오지 않을 경우 전체를 대상으로 검색해보는 것을 추천합니다. 일반적으로 USERS 폴더에 주요 증거 파일이 저장될 확률이 높으며, 전체를 대상으로 할 경우 너무 많은 내용을 검색하기 위해 시간 소요가 될 수 있기 때문입니다.

    

1. View - Keyword Hits 에서 결과를 확인할 수 있으며 파일들을 살펴보다 보면 plum을 찾을 수 있습니다. 다만 전화번호에 .이 들어가거나, 01011112222와 같은 형식으로도 저장될 수 있기 때문에 키워드 검색의 경우 충분히 다양한 가능성을 열어놓고 검색을 해야합니다.

   

• 위의 내용들을 종합적으로 시간 순으로 정리해보면 대략적인 흐름이 파악될 것입니다.

3-3) 주관식 및 분석 보고서 작성

• 주관식 및 분석 보고서 작성 관련 문제를 해결해보도록 하겠습니다.

1. 주관식 및 분석 보고서(30점) 5-1) 노트북을 압수하였고, 관련 자료를 수집하였다. 수집 절차에 대해 설명하세요.

   5-2) 분석 보고서를 작성하세요. > 답안 작성 참고

4. 답안 작성

답안 저장

• 문제지에서 요구하는 형식에 맞춰서 답안 작성 문서 파일, 주요 증거 파일을 저장합니다.

  
• 참고로 시험 합격여부에 거의 영향은 없을 것이지만 증거제출용 USB에 먼저 문서파일, 폴더를 저장한 뒤에 맨 마지막에 FTK Imager에서 주요 증거파일을 USB 파일 저장 폴더에 바로 추출합니다. EnCase에서 우클릭 - Entries - Copy로 추출한 뒤 저장할 때 USB에 주요 증거파일 폴더에 추출하여도 동일합니다.

답안 작성(참고로만 활용)

• 정답은 아니라 이런 식으로 답안 작성을 하면 된다는 정도로만 활용하시고 내용을 쉽게 작성 합니다. 다만 가장 중요한건 문제에서 요구하는 파일이나 내용, 키워드가 포함되어야 합니다.

• 1번 문제.rtf

  
• 2번 문제.rtf

  
• 3번 문제.rtf

  
• 4번 문제.rtf

  
• 5번 문제.rtf - 주관식 문제

  

  - 분석 보고서

  

  

  

[작성중]논리이미징 만들어보기

아직 시험에 출제된 적은 없으나 선별수집 시 파일들 만을 대상으로 논리이미징 하는 방식입니다.

다만, 시험에서 요구하지 않는 경우 불필요하게 포함할 필요는 없을 수 있기 때문에 참고로 알아 둡시다.

1. EnCase에서 증거로 제출할 파일들을 선택 후 우클릭 - Bookmark - Selected Items를 선택 한 뒤 북마크 폴더에 추가합니다.

   폴더를 새로 생성하여 저장하도록 합니다.

   

   파일을 체크 후 우클릭 Review Package - Export를 선택 한 뒤 Lx01 파일로 추출할 수 있습니다.

   불필요한 tag 관련은 모두 체크를 해제합니다.

   논리이미지를 Evidence에 추가하면 내용 확인이 가능합니다.

2. FTK Imager에서 주요 증거 파일을 선택 후 우클릭 - Add to Custom Content Imager(AD1)을 통해 추가 후 Create Image 를 선택합니다.

   

   Add를 통해 저장할 경로를 지정 후 Start하여 이미지 생성 합니다.

   

   FTK Imager 에서 해당 이미지를 추가하면 추가한 파일을 확인할 수 있습니다.