디지털포렌식 2급 실기 (2018 모의 문제 풀이 - 1번 문제) [FTK Imager]

음...아무래도 NTFS 공부도 미뤄야겠다.

실기 공부를 하다보니까 이런 저런 막히는 구간이 많았네.

해당 문제는 비트낭님의 Notion을 참고하여 풀었다.

https://bitnang.notion.site/EnCase-2018-72636be3fe5d4a5c91b087d3d1050c55

사실 풀면서 풀이는 안보고 풀어봤는데 일단 1번 문제까지는 술술 풀렸는데 2번부터 막혀서 난항이 있었다...
그리고 Encase는 상업화된 프로그램이라서 회사나 기관에 소속되어 라이선스를 빌려서 도구를 사용하지 못하는 학생들은 어떻게 풀어야하는지 비트낭님께 여쭤보고 풀이를 쓴다.

[EnCase]2018 모의 문제(윈도우포렌식) | Notion

풀기 전에

 

 

비트낭님의 

실기시험 기본은 다 읽고 오는게 좋을듯하다.
포렌식 2급 공부하면서 저 절차들을 모르는 사람이 있을까 싶지만, 사실 읽어보면 책에도 없었던 내용들도 깨알같이 있어서 유용했다.

문제들은 pdf 파일 첨부한 것을 보면 된다.

시나리오는 대략적으로 이러하다

팬텀이라는 영화 제작하여 개봉하기 3일전에 시나리오가 유출되었다는 것이다.

1-1번 문제

1번 문제는 대략 해당 증거물의 파일 시스템에 대한 이야기이다.

1-1. 증거 사본을 생성하는 과정과 결과를 각 단계별로 기술하시오.

일단 첫번째로 이행해야할 것은 쓰기방지를 해놓는 것이다.
레지스트리 편집기를 열어서
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/ 에 StorageDevicePolicies 키를 생성해준다.
이후 해당 키에 DWORD 값으로 WriteProtect라는 이름으로 설정 값을 1로 설정해준다.

요렇게

이제 쓰기방지가 된 것이다. 
해당 문제에 있는 VHD 파일을 다운로드 받은 후에 

해당 파일을 연결해준다.
이제 이건 USB이다.

그러고 FTK Imager로 물리 디스크를 확인해보면

해당 VHD이 나온다. 이를 열어서 확인해보자.

파일 시스템이 인식이 되지 않으며 첫 섹터의 앞부분이 전부 0x20으로 채워져있다.
파일 시스템의 VBR 부분이 손상된 예시라고 볼 수 있다.

일단 1-1번 문제는 디스크의 사본을 뜨는 것이니.

Export Disk Image를 통해서

단편화는 없이 이름을 2018_VHD로 정해서 이미지 추출을 해주자. 나는 dd로 원본 그대로 뽑아냈다.

해당 이미지 파일의 해시값이다. (사실 이미지 파일 추출과 동시에 해당 이미지 파일에 대한 정보가 txt 파일로 나오긴한다.)

문제에 기재해줘야할 과정

1. 무결성의 보장을 위해서 쓰기 방지를 사용했다는 점.

2. FTK Imager로 사본을 생성했다는 점.

3. 사본 생성 완료 후에 나오는 txt 파일 내용을 통해서 SHA1과 MD5의 해시 값이 일치하다는 점

을 기재해야하는듯하다.

현재 비트낭님께 질문을 좀 더 넣었는데 답장이 와야지 해결이 가능할 것 같다.

?) USB(VHD)의 해시값이 있어야 해당 사본의 해시값과 비교할 수 있어야할텐데

이렇게 프로세스에서 사용 중인 경우에는 usb의 해시 값을 어떻게 뽑아내는지를 메일 넣어놨다.

1-2번 문제

1-2번 문제는 파일 시스템이 훼손 되어있고, 파일 시스템을 복구한 후에 증거사본의 매체 정보 중

USB Serial Number, 파일 시스템 종류, 총 섹터 수, 전체용량, 가용용령, 볼륨 시리얼 번호, 단위 클러스터 크기를 기재하라고 나와있다.

사실 이건 쉽다.

앞에 말했듯이 실기시험 대비 기본을 다 보면 파일 시스템 복구에 나와있다.
디지털 포렌식 전문가 2급 실기에서는 대부분 FAT32 아니면 NTFS만 나온다고하시니까 믿고 일단 이거 2개만 봤다.

FAT32는 6번째 섹터에 VBR 복사본이 위치하고
NTFS는 마지막 섹터에 VBR 복사본이 위치한다. (다만 NTFS는 -1을 해줘야한다. VBR 때문에)

6번째 섹터로 이동해주면

그렇다할 의미있는 데이터가 있지 않다. 뒤에 55 AA 시그니처도 없는 것을 보아 FAT32는 일단 아닌듯하다.

그러면 마지막 섹터로 가보면

앞에 NTFS라고 흔히 NTFS의 VBR에서 보이는 OMD 이름과 마지막에는 55 AA로 시그니처가 있다.
그러므로 해당 USB의 파일 시스템은 NTFS를 사용한다.

이제 복구를 하면 될 듯하다.

값을 복사해놓고...HxD로 열어야한다 이제

여기서 이제 파티션의 시작 위치인 VBR의 주소를 알아놔야한다.

여기서 NTFS가 시작하는 파티션의 위치는 128번째 섹터라고한다.

그러므로 해당 주소를 오프셋으로 128 * 512 = 65536 가 될 것이다.

우리는 지금 VHD 즉 USB를 열어서 복구하는 것이 아니라 증거 사본을 복구하는 것이다.
그러므로 물리디스크 말고 이미지 복사본을 복구해야한다.

찾기->이동으로 가서 아까 찾아놨던 오프셋으로 이동해보자.

아까 봤던 20으로 채워진 VBR 부분이 나온다 이제 이걸 정상적인 VBR 복사본을 이용해서 복구해주면 된다.

이제 이걸 저장해주고 FTK Imager로 확인해보면

제대로 인식을 해준다. 이제 FTK Imager로 해당 값들을 알아내보도록하자.

1. USB Serial Number
이건 실제 USB에서는 드라이브 시리얼 넘버가 있지만,
VHD에는 없는듯하다.

https://m.blog.naver.com/bitnang/221568025684

[실기] 디지털포렌식2급 실기 Tip 및 연습문제_2019

비트낭님의 문제풀이 포스팅을 보아하니

 내 추측이 맞았다.

시험장에서 받은 USB를 FTK Imager로 확인할 때 잘 보자.
물론 비트낭님께서 올려주신 e01으로 이미지할때 나온 txt 파일을 통해서 확인해도된다.

2. 파일 시스템 종류

NTFS이다.

3. 총 섹터 수

해당 파일 시스템의 파티션을 클릭하여서 Properties를 확인해보면
총 섹터수는 1632256개이다.

4. 전체용량
전체용량은 해당 파일 시스템이 할당받은 크기를 말한다. 이는 파티션의 크기를 말하기도 한다.

마찬가지로 해당 Properties를 확인하면 1632256 섹터이므로
1632256 * 512 = 835715072 bytes 이다.

5. 가용용량
가용용량은 실제로 파일 시스템이 사용하는 공간이다.

NTFS를 클릭해주고 Properties를 확인하면
클러스터 크기와 클러스터의 개수를 확인할 수 있다.
1개의 클러스터는 4096바이트이고 파일 시스템은 현재 204031개의 클러스터를 사용 중이므로,
4096 * 204031 = 835710976 bytes 이다.

6. 볼륨 시리얼 번호

볼륨 시리얼 번호 또한 파일 시스템 정보에서 찾을 수 있다.
Properties에 Volum Serial Number 이 있다. 이는 047F-0C1D 인데,
VBR 부분에는 Properties에 명시된 것보다 더 길게 전체 볼륨 시리얼 번호가 있다.
정확하게 어느 위치에 있는지 알 필요까지도 없다 그냥 Properties에서 알려주는 시리얼 번호를 대조해서 있는 값의 8바이트만큼 묶어서 확인하면된다.
주의해야할 점은 Properties에서 알려준 볼륨 시리얼 번호는 빅엔디안 기준으로 4바이트만 나와있다.
그러므로 시험에서 볼륨 시리얼 번호를 전부 기재하기 위해서는 1D 0C 7F 04 49 7F 04 B6 (리틀엔디안) 이런식으로나 B6 04 7F 49 04 7F 0C 1D (빅엔디안) 이런식으로 기재해야한다. 다만 대부분의 분들은 빅엔디안으로 답안을 작성하시는 듯하다.

7. 단위 클러스터 크기

클러스터의 크기도 나와있다 4096bytes 이므로
4096bytes(8 sector) 로 작성하면 된다.