디지털포렌식 2급 실기 (2019 모의 문제 풀이 - 1번 문제) [FTK Imager]

2018은 대략적으로 풀이를 보고 따라가며 풀어봤다.
2019 모의 문제는 일단 처음부터 가능한 부분까지 혼자 풀어보고,
막히는 문제는 풀이를 보면서 해보자...

일단 시나리오는 이러하다,
회사의 직원 킹유출씨가 디자인을 유출한 정황이 포착.
책상에서 USB 발견, 해당 USB에는 다양한 안티포렌식 기법. (이거 꽤 중요해보임.)
어떠한 이득을 취하였는지 파악해야한다.

1-1번 문제

증거물 사본을 생성하고 각 문제 항목의 답안을 작성하시오.
USB 증거 사본을 생성하는 과정과 결과를 단계별로 기술하시오.

이전의 문제와 비슷하다.

일단 나름대로 정리해본 과정은 이러하다.

1. 레지스트리 편집기를 통해 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control에 StorageDevicePolicies 키 생성 - DWORD 값으로 WriteProtect 이름으로 값 1 설정.

2. 수집한 증거사본에 대한 해시값 기록

비트낭님께서 문제와 함께 제시해주신 e01 파일을 FTK Imager에 이미지 파일로 추가해서 다시 추출해야한다.
vhd를 통해서 물리디스크 추가 후 추출할 경우 탑재되어있는 vhd는 현재 시간 값이 바뀌었으므로, 해시값이 달라져버린다.

이미지 파일 그대로 가져와야한다.
e01 파일을 열어서 원본 파일을 dd 형태로 뽑아내어 해시값을 확인해보면

 

비트낭님께서 올려주신 txt 파일과 해시값이 일치한다.
그러므로 만들어낸 사본의 해시값 또한 원본과 일치함을 알 수 있다.

이제 파일 시스템을 복구해야한다.

1-2번 문제

파일 시스템이 훼손되어 있다. 이를 복구하고, 증거사본의 매체 정보 중 아래 항목을 찾아 기술하시오.

시작부터 뭔가 쉽지 않아보인다.
일단 파티션이 2개로 나뉘어져 있는데, 첫 번째 파티션은 NTFS이고, 두 번째 파티션은 FAT32로 추정되는데 손상되어 있다.
파티션이 2개라는 것은 탐색해야할 아티팩트도 그만큼 늘어듯하다.....

두번째 파티션의 첫 섹터가 완전히 0으로 채워져있다.
VBR이 손상된 케이스이다.

일단 6번째와 마지막 섹터를 둘러봐야한다.

6번째 섹터에 VBR이 있다. 그럼 이건 FAT32라는 것이다.
이를 복사하고, 이미지를 HxD로 열은 후에 넣어주면 될듯하다.
그러려면 두번째 파티션의 위치가 어디인지 알아야겠지?

204928번째 섹터부터 시작하고, 총 198656만큼의 섹터를 갖는다.

1섹터가 몇 바이트인지 알아내는 것을 까먹었지만, 도구가 다 해주니까 괜찮다.
512바이트라고하니까,
204928섹터 * 512바이트 = 104,923,136 바이트이다.

HxD로 도구 - 디스크 이미지 열기 - 512섹터 크기 지정 후 열면

이미지를 편집할 수 있다.
이제 복사한 값을 넣어보자.

찾기 - 이동

해당 오프셋은 0x06410000 이다.
위에는 NTFS의 VBR로 보이는 데이터가 있다.
당연하게도 NFTS는 마지막 섹터에 VBR의 복사본을 갖고 있으므로 NTFS 이후 FAT32가 바로 연속적으로 위치하게 되었다고 볼 수 있는 것이다.
그리고 해당 오프셋에 0으로 채워진 값들이 보이는 것으로 보아 알맞게 오프셋으로 이동한 것이라고 볼 수 있다.

해당 섹터를 붙어넣기 쓰기로 채워준다.

fat32의 vbr을 복구해주고 저장해준다.
이미지 브라우징이 잘 되었는지, 파일시스템 복구를 잘했는지 FTK Imager로 다시 열어서 확인해보자.

앞에 나왔던 식별불가능한 파일시스템 표시가 없어졌다. 제대로 복구한 것이다.
이제 문제를 풀어보자.

가) 파일 시스템 종류
나) 총 섹터 수 / 전체용량 / 가용용량
다) 볼륨 시리얼 번호
라) 단위 클러스터 크기

이렇게인데 이게 첫번째 파티션과 두번째 파티션 모두 포함인지, 두번째 파티션만 해당인지를 모르겠으니 모두 구해서 제출하는게 안전할듯하다.


가) 파일 시스템 종류

첫번째 파티션 = NTFS
두번째 파티션 = FAT32


나) 총 섹터 수 / 전체용량 / 가용용량

첫번째 파티션의 총 섹터 수 = 204800개

첫번째 파티션의 전체용량 = 204800 * 512 = 104,857,600 바이트

첫번째 파티션의 가용용량 = 클러스터의 갯수 * 클러스터의 섹터 수 * 512(1섹터) = 25599 * 8 * 512 = 104,853,504 바이트

두번째 파티션의 총 섹터 수 = 198656개

두번째 파티션의 전체용량 = 198656 * 512 = 101,711,872 바이트

두번째 파티션의 가용용량 = 클러스터의 갯수 * 클러스터의 섹터 수 * 512(1섹터) = 95232 * 2 * 512 = 97,517,568 바이트

정리하면

첫번째 섹터의 총 섹터 수 / 전체용량 / 가용용량
204800개 / 104,857,600 바이트 / 104,853,504 바이트

두번째 섹터의 총 섹터 수 / 전체용량 / 가용용량
198656개 / 101,711,872 바이트 / 97,517,568 바이트

이다.

다) 볼륨 시리얼 번호
첫번째 파티션 볼륨 시리얼 번호 = 10B9-A973 (빅엔디안) 이고 73A98910EA89103E (리틀엔디안) 이 전체 볼륨 시리얼 번호이다.

두번째 파티션 볼륨 시리얼 번호 = 10B9-A973 (빅엔디안)
FAT32는 전체볼륨시리얼번호가 없다.

라) 단위 클러스터 크기

첫번째 파티션의 1개의 클러스터 크기 = 4096바이트

두번째 파티션의 1개의 클러스터 크기 = 1024바이트