디지털포렌식 2급 실기 (2019 모의 문제 풀이 - 2번 문제) [FTK Imager]

2-1번 문제

d1d3a12062725e2881fe1fa9fe32c638 의  MD5 값을 가진 파일을 찾아야한다.
FTK Imager로는 기능이 부족할테니 Autopsy를 써보자.

일단 이전처럼 확장자와 시그니처가 맞지 않는 파일들부터 봐보자.

대부분의 파일들은
확장자 뒤에 :Zone.Identifier 로 붙었다.
이게 뭐인지 검색해보면,

Alternative Data Stream 이였구나.
그냥 메타데이터에 대한 정보를 저장하는 파일이라고 생각하면 편하다.
Zone.Identifier은 너무 많으니까 넘어가고
그 외의 파일들은

압축파일이지만 jpg 확장자를 가진 오징어구이.jpg

압축파일이지만 pdf 확장자를 가진 d2793e98fd7b0e49b9d62797061199ed.pdf

이 두개를 확인해보자.
만약에 이 두개에서도 MD5 값이 일치하게 나오지 않는다면, 압축해제하여 내부의 파일들 또한 MD5를 확인해볼 것이다.

둘 다 아니다...

압축해제 후 확인해보자.

d2793e98fd7b0e49b9d62797061199ed 파일은 내부구조가 ppt 파일인듯한데.
이거 ppt나 pptx로 확장자 바꾸고 열어보는 것도 괜찮을듯하다.
일단 그건 나중으로하고 이건 일단 해시값과 연관이 없어보인다.

오징어구이.jpg 에는 이미지 파일이 2개 있다.
디자인1.jpg 이거 딱봐도 시나리오의 디자인 유출한 증거이다.
이 파일들을 해시값 확인해봐야겠다.

어 이것도 아니다.
그럼 뭐지.

암호화된 파일도 1개 나왔으니 이것도 해시값 확인해보자.

이것도 아니다 뭐지...

규빈님께 물어보니까
의외로 내가 모르던 기능이 있었다.
FTK Imager에서도 MD5와 SHA1 해시 값 리스트를 뽑아낼 수 있었다.
디렉토리에 우클릭 - Export file hash list 를 이용하면된다.
나 왜 몰랐지..?

찾았다. 
NTFS (첫번째 파티션) - root - 2. 사진 - 여행 - 설악산.png이다.

나 생각해보니까 2018 모의문제에서는 파일은 찾았는데 파일명, 크기, 시간 정보 안적어놨구나....

파일명 : 설악산.png
파일크기 : 1075839 바이트
파일시간정보 : 접근시간 (2019-11-18 오전 12:47:45)
생성시간 (2019-11-18 오전 12:47:45)
수정시간 (2019-11-17 오전 3:02:44)

2-2번 문제

파일시스템이 생성된 시간은 FTK Imager나 Autopsy에서는 잘 찾을 수 있다.

2019-11-18 오전 12:47:16 이다.

2-3번 문제

이거 지난번에 꽤 고생했던 문제다.
클러스터 번호....
근데 이거 파티션은 2개이지만, NTFS 파티션을 기준으로 문제를 내신듯하다.
아 이거 기억난다.
클러스터런 구조를 통해서 클러스터 번호를 16진수(리틀엔디안)으로 검색해서
속성으로 보이는 부분을 찾으면된다.

그래서 7929 -> 0x1E F9 (빅엔디안) -> 0xF9 1E (리틀엔디안) 으로 변환해서
0xF91E를 검색하려고했는데...

이에 대응하는 hex값이 너무나도 많았다.
그래서 비트낭님께 물어보니까

아 내가 잘못 찾고있었다.
일단 파일명과 확장자와 같은 메타데이터는 $MFT에서 관리하기 때문에 
무작정 많고 많은 데이터들이 있는 파티션에서 검색할 것이 아니라
$MFT 파일에서 클러스터런의 클러스터번호를 검색하고 그 인근에 있는 속성을 통해서 파일명을 파악하여서 검색해야한다는 것이다.

근데 난 비트낭님이 질문 받아주시기 직전에 찾았다.
파일 형태로 보아하니 3. 음악 쪽에 있는 mp3 파일들 중 하나였다.
그래서 파일들을 몇개 눌러서 시작 클러스터 번호를 확인했다.

기상나팔.mp3 가 정답이였다.
비트낭님께서 다시 짚어주신 방법으로 풀어보면,

$MFT에서 해당 클러스터 번호를 검색해보았다.

파일명이 안보인다. 영어가 아니라 한글인가보다.
그러므로 파일명이 있을법한 구역을 복사해주고

텍스트 파일을 아무거나 만들고 UTF-16 LE 로 인코딩해주어서 저장한다.
이를 HxD로 열어주면,

이렇게 시그니처만 나오며 뒤에는 빈 공간이 생긴다
이를 아까 파일명이 있을법한 hex값을 복사한 값을 붙여넣고 저장해준다.

요렇게
그리고 파일을 다시 메모장으로 열면,

기상나팔.mp3 파일명이 나온다.

해당 파일에 대한 정답을 모두 찾았다.

파일명 : 기상나팔.mp3
파일크기 : 65201 바이트
파일시간정보 : 접근시간 (2019-11-18 오전 12:47:46)
생성시간 (2019-11-18 오전 12:47:46)
수정시간 (2019-11-17 오전 4:36:49)

2-4번 문제

이것도 지난번에 해봤던게 다 생각난다.
파일시스템 구조가 복잡하다면 파일 찾는게 힘들겠지만 ntfs 파일시스템에는 문제에 구조를 복잡하게 않으셔서 금방 찾았다.

해당 파일을 export 해준다.

hwp -> zip으로 확장자 변경 후 압축해제를 해주면,

파일 내부 구조를 확인할 수 있다.
파일을 열어서 한컴에서 직접 정보를 볼 수도 있지만, autopsy로 확인해보자.

지은이는 Forensic 이다.

2-5번 문제

아무리 생각해도 이 문제에 대한 정답을 확실하게는 못 찾겠다.
일단 의심되는 파일은 디자인1.jpg-바로 가기.lnk 링크파일이다.

이 링크파일은 키워드 검색으로 lnk를 검색하여서 찾아냈다.
해당 링크파일을 export하여 추출하고 linkparser로 분석해보자
찾아야하는 정보는

1. 볼륨 시리얼 넘버
2. 대상파일 크기
3. Drive Type

이렇게이다.
linkparser로 확인해보면

볼륨 시리얼 넘버 : A6AE489B
대상파일 크기 : 72431 바이트
Drive Type : Removable (제거가능?)