디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. HxD (Hex Editor)
  • 2. FTK Imager
  • 3. Active Disk Editor
  1. 디지털포렌식과 친해지기
  2. 1. BIT의 저장
  3. 0) 준비사항!

0-1) 주요 분석 도구 간단 소개 및 설정

Previous0) 준비사항!Next0-2) Python 을 이용한 개발 환경 구성

Last updated 5 months ago

1. HxD (Hex Editor)

  • HxD는 파일, 혹은 디스크, 디스크 이미지 등을 hex(16진수)값으로 표현하고 이를 수정 할 수 있는 기본적인 도구입니다.

  • 기본적인 사용법은 아주 간단합니다. File - Open 또는 아래 열기 아이콘을 통해 파일을 불러 올 수 있습니다.

  • 보기 - 오프셋 기반에서 10진수, 16진수 변환 가능(변경할 필요는 잘 없습니다. 보통 16진수로 사용)

  • 우측의 데이터 변환기에서는 선택한 영역의 변환 값을 확인할 수 있습니다. 아래 그림을 예로 들면 74 65 73 74 (리틀엔디안) -> 74 73 65 74 (16진수) => 1,953,719,668 (32바이트 값 변환) 하단에는 시간 값 변환도 가능합니다.

  • 도구 - 디스크 열기 / 디스크 이미지 열기 실제 연결되어 있는 디스크 또는 디스크 이미지(추후에 공부하게 될 사본 파일)를 섹터 단위로 열고 수정 할 수 있습니다. 포렌식 분석에 저장매체, 사본이미지를 분석할 경우 이 메뉴를 많이 이용하게 될 것입니다. *디스크 열기의 경우 관리자 권한으로 실행되어야 합니다.

    또한 섹터 부분의 숫자를 입력하여 원하는 섹터로 이동이 가능합니다.

  • 아래와 같이 수정이나 추가 등도 바이트 단위로 입력 및 수정이 가능합니다.

  • hex에서 파일을 수정할 경우 기존의 파일을 BAK 파일로 생성하게 됩니다. 만약 용량이 큰 파일을 수정할 경우 오랜 시간이 걸릴 수 있기 때문에 가능하면 설정 - 보안 탭에서 백업 파일 생성 체크를 해제하도록 합시다.

  • 파일을 새로 생성하여 hex 값으로 데이터를 새로 만들고 저장할 수 있습니다.

2. FTK Imager

  • FTK Imager의 경우 저장매체에 저장되어 있는 파티션, 파일시스템 구조 등을 분석하여주고, 사본 이미지 등을 생성하는 간단한 프로그램입니다. 대신 사본이미지를 획득 도구 답게 읽기는 가능하나 수정 기능은 포함하지 않습니다.

  • 설치 파일 다운로드

  • 포렌식 분석에서 아주 간단한 분석도 가능하나 기본적으로 Imager 답게, 물리, 논리, 메모리의본 이미지를 생성하는 도구 입니다. 자세한 사용방법 및 원리는실습을 하면서 자연스레 익히게 될 것이고 자주 사용하게 되는 프로그램입니다. 추후 활용을 위해 미리 View-Properties를 선택하여 분석 결과 창을 열어두도록 합시다.

3. Active Disk Editor

  • 저장매체의 파티션, 파일시스템 등을 분석하고, 수정하는 기능을 가진 도구입니다. 여러가지 수정 및 분석 기능들을 포함하고 있으나 무엇보다 좋은건 템플릿을 통해 우리가 분석을 할 때 시각적으로 활용하기 좋습니다.

    포렌식과 친해지기에서는 수정 기능은 사용하지 않을 것이며, 분석 할때 템플릿 등을 통해 활용할 것이며 기타 기능은 사용하지 않을 예정입니다.

  • 처음 시작하면 뜨는 창은 그냥 우측 하단에 Close를 누르고 종료하면 됩니다. Show this view on startup 도 체크 해제 하도록 합시다.

  • 프로그램 테마가 기본이 Dark인데 어둡다고 생각한다면 전체적인 색깔 테마를 바꿀 수 있습니다. [Tool - Preferences] - Environment 에서 Application sytle 에서 원하는 색깔로 변경 가능 합니다.

  • 추후에 사용할 기능으로 Templates 를 이용하여 저장매체의 파티션, 파일시스템 등을 분석을 할 때 시각적으로 구분해서 보기 편하게 분석 할 수 있는 기능을 제공합니다. 사실 이러한 기능들은 처음 공부에 활용하는 것이 도움이 되며, 이후 어느정도 분석에 익숙해지면 이러한 기능 없어도 분석 대상 영역에 어떤 값들이 있는지, 있어야 하는지 예상/분석할 수 있습니다. 그전까지 친해지기 전까지 잘 활용하여 봅시다.

3줄 요약

  1. 기분적으로 포렌식 관련 분석도구는 대부분 Hex(16진수)값으로 접근하는 경우가 많습니다. 이것에 대한 정확히 이해하고 익숙해지면 다른 포렌식 관련 도구를 만났을때 금방 친해질 수 있습니다.

  2. 대신 앞으로 우리는 위 도구에서 어떤 값을 표시하는게 어떤 것 때문에 이렇게 표시하는지 정확히 알아갈 수 있어야 합니다.

  3. 결론은 설치만 해두고, 기본 셋팅만 해놓고 나중에 실습하면서 익혀가면 됩니다.

(2024. 05월 버전) Active@ Disk Editor 24.0 (실습용 다운로드) [공식사이트 다운로드]

https://www.disk-editor.org/index.html
80MB
AccessData FTK Imager.zip
archive
26MB
diskeditor-freeware 24.0.25.zip
archive