오전 수업
1. 디지털 포렌식
1) 시나리오5
▣ 실습파일 : 시나리오5 (수사관의 usb.001) 용량 12.0GB - 22회 시험문제
▶시나리오 배경
경복궁 담벼락 낙서 '배후' 이 팀장, 5개월 만에 구속
▶시나리오
불법 도박 사이트를 운영하는 B씨는 사이트 홍보를 위해 A씨에게 문화재 담벼락에 자사 사이트 주소를 쓰도록 지시하였다 A씨는 체포 후 범행을 부인하였으나, B씨로부터 지시 받은 정황이 확인되어 A씨의 노트북을 압수하였고
수사관은 A씨의 노트북을 이미징하여 수사관의 USB에 저장하였다.
▷ 문제1
(0) 무결성
(1) 이미지 파일의 Hash 값을 확인하시오. (MD5: 14225d42ed65ab5a716db19f0dcb25c4)
(2) 운영체제가 설치된 볼륨의 파일시스템과 시리얼 넘버를 확인하시오
(3) 노트북에 설치된 랜카드의 제조사 (또는 모델명)을 확인하시오
(4) 노트북에 설정된 IP 주소를 확인하시오
▷ 문제2 : B가 A에게 지시하기 위해 발송한 이메일과 관련하여
☞ 이메일의 기본 내용 (제목/내용 등)
☞ 발신자의 이메일 주소
☞ 발신자의 IP 정보
☞ 첨부파일을 모두 찾는다 (rb.dll)
->첨부파일은 모두 몇개?
->실제 첨부된 파일명은?
▷ 문제3
☞B로부터 지시받은 내용(이메일/첨부파일)을 저장하기 위해 사용한 프로그램
☞ B의 전화번호
☞ A가 사용한 안티포렌식 방법
▷ 문제4
☞ 촬영한 기기의 정보(모델명 or 펫네임), 촬영일자2) 문제 1 풀이
▷ 문제1
(0) 무결성
(1) 이미지 파일의 Hash 값을 확인하시오. (MD5: 14225d42ed65ab5a716db19f0dcb25c4)
(2) 운영체제가 설치된 볼륨의 파일시스템과 시리얼 넘버를 확인하시오
-> 파일시스템 : FAT32
-> 시리얼 넘버 : C455-870E
(3) 노트북에 설치된 랜카드의 제조사 (또는 모델명)을 확인하시오
-> 랜카드 제조사 : Intel(R) 82574L Gigabit Network Connection
-> 랜카드 일련번호 : 8521B0B4-C3A9-4B9F-912D-247A548CC657
(4) 노트북에 설정된 IP 주소를 확인하시오
->(1) FTK Imager로 수사관usb 확인
(2) 훼손된 파일을 HxD로 복구 시도
→ 시작 섹터값을 모르는 경우
- HxD에서 이미지 불러오기
- MBR(첫 번째 섹터) 확인
★ 주파티션은 최대 4개까지 생성할 수 있다. (IDE 방식의 하드 디스크는 컴퓨터에 최대 4개를 장착할 수 있다.) 참고 : S-ATA 하드는 최대 6개 장착 가능
1 3 1 3 4 4
00 -> 부팅가능
20 21 00 -> 실린더 시작번호
0C -> 파일시스템
FE FF FF -> 실린더 마지막 번호
00 08 00 00 -> 시작 섹터(리틀엔디안) -> 00 00 08 00 -> 0000 1000 0000 0000 -> 2048
00 E8 7F 01 -> 마지막 섹터(리틀엔디안) -> 01 7F E8 00 ->- 시그니처 확인
- BR 복구 시도
(3) 저장한 파일을 FTK Imager에서 복구 내용 확인
→ 파티션 정보 메모해둘 것
→ FTK Imager > 디스크 명 클릭 > 하단의 정보 > 시작 섹터 * 총 섹터 수 = 하드디스크 용량
→ FTK Imager > 디스크 명 클릭 > 하단의 정보 > 운영체제 정보(OS 시리얼 넘버)
→ 이후 Autopsy에서 복구 이미지 생성
(4) REGA → 5개의 정보 파일 필요
- 사용자 계정 : NTUSER.DAT
- /img_scenario5_get_raw.001/vol_vol6/Default
- 시스템파일 : SAM, SOFRWARE, SECURITY,SYSTEM
- /img_scenario5_get_raw.001/vol_vol6/Windows/System32/config/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\2
3) 문제2,3 풀이
▷ 문제2 : B가 A에게 지시하기 위해 발송한 이메일과 관련하여
☞ 이메일의 기본 내용 (제목/내용 등)
☞ 발신자의 이메일 주소
☞ 발신자의 IP 정보
☞ 첨부파일을 모두 찾는다 (rb.dll)
->첨부파일은 모두 몇개?
->실제 첨부된 파일명은?
▷ 문제3
☞B로부터 지시받은 내용(이메일/첨부파일)을 저장하기 위해 사용한 프로그램
☞ B의 전화번호
☞ A가 사용한 안티포렌식 방법
-> HxD를 이용한 시그니처 훼손
-> 확장자 변경1차 탐색 : Autopsy에서 발견된 기본 정보 탐색
2차 탐색 : 하드디스크에서 정밀탐색 → 사용자(다운로드 폴더, 내문서, 바탕화면)
★주의 : 잘 알려진 확장자 위주의 탐색 권장, 확장자 변조 의심(스태가노그래피), 문서파일 -> 숨어 있는 글자, 색상, 이미지
(1) 인터넷에서 다운로드한 정보
- HxD → 시그니처 훼손(정상적인 이미지 손상) → 정보은닉 = 안티 포렌식
→ HxD가 문제를 만들기 위해서 사용했는지 아닌지 구분 방법 인터넷 사용 기록을 확인하여 증거 확보
- rb.dll → 이미지 파일의 확장자 변경 → 증거로 의심
- rd2.exe → 이미지 파일의 확장자 변경 → 증거로 의심
https://toolbox.googleapps.com/apps/main/?lang=ko
Google 관리 콘솔 도구 상자
toolbox.googleapps.com
→ 무료. 메일 분석 가능. 누가 보냈는지 악성인지 등등 분석 해줌.
- NTFS LOG Tracker
→ /img_scenario5_get_raw.001/vol_vol6/$Extend/$UsnJrnl:$J
→ /img_scenario5_get_raw.001/vol_vol6/ $LogFile
→ /img_scenario5_get_raw.001/vol_vol6/ $MFT
