디지털포렌식 2급 실기 (2020 모의 문제 풀이 - 3번 문제) [FTK Imager]

문제 들어가기 앞서.

아무래도 이번 문제는 3번부터 7번까지 종합적으로 풀게될 것 같다.
시나리오상 확실하게 나와야하는 증거는

1. 지령 관련 증거
2. 계획서
3. 연락처
4. 선거관리위원회 주변 촬영 증거 4장

이렇게 일듯하다.

아무래도 안티포렌식 흔적을 찾아내면 자연스럽게 다 나오겠지?
일단 체크해야할 것

1. 파일 시그니처와 확장자 불일치 파일
2. 1번에서 나오지 않은 시그니처 훼손된 흔적
3. lnk 파일도 점검해야한다.
4. 메일파일 ost, pst, msg도 확인해야함
5. 스테가노그래피 기법이 들어가있는지 파일 구조도 확인.
6. 브라우저 아티팩트
7. 삭제된 파일 흔적

3번 문제

.

와 아무리 찾아도 의심될만한게 안찾아진다...
그나마 의심할만한건
3번 파티션에 위치한 파일들 중
2019와 2020 폴더에 있는 파일들은 확장자가 전부 맞지 않는듯하다.
근데 Extension Mismatch Detected 에는 뜨지 않는다
그래서 이게 시그니처와 확장자가 맞는지 잘 모르겠다.
내가 모르는 무언가가 있는건가?
그리고 2020선거 - 사진 폴더는 삭제된 흔적이 있고,
3번 파티션의 새폴더 2개가 삭제된 흔적이 있다.
4번 파티션에도 1개의 삭제된 흔적이 있다.
2번 파티션에도 ~BCWipe.tmp를 삭제한 흔적이 있다.
그리고 추가적으로 처음보는 확장자도 꽤 많아서 익숙하지가 않다.
joboptions 확장자는 뭐지
guess 확장자는 뭐고
.
.

아 풀이 보니까 ~BCWipe.tmp 파일은 BCWipe 도구의 임시파일일텐데
BCWipe라는 도구는 데이터 영역을 덮어씌우기로 복구가 불가능하게하는 안티 포렌식 도구이라고한다.

이러한 흔적을 제출할 때에는

1. 파일(폴더)명 = ~BCWipe.tmp , WIP5E4DB3B3.tmp
2. 경로 = vol_vol2/~BCWipe.tmp
3. 관련 흔적 파일 = WIP5E4DB3B3.tmp
4. 파일크기 = 48(~BCWipe.tmp), 4381KB(WIP5E4DB3B3.tmp)
5. 시간 정보 (메타데이터) = 2076-11-29 17:54:34 KST (수정시간, 접근시간, 생성시간)
6. 해시값 = WIP5E4DB3B3.tmp 기준 (SHA1 = 693AED962DBE2A5EF8B6E9CB5DE6E055B1D05F25)
(MD5 = 2CEE578897516801389F40ED6B201263)

과 같은 정보들을 기재해주면 더 좋다.

autopsy에서 Properties를 통해 거의 다 확인할 수 있다.

2020문제는 너무 어려운데....

난관이 많다 벌써부터