디지털포렌식 2급 실기 (2022 모의 문제 풀이 - 1, 2-1번 문제) [FTK Imager]

일단 시나리오부터 봐보자.
제품 설계도면이 유출되었다.
사내에서 공용으로 쓰는 인터넷망과 연결된 PC로 유출됨.
그 중 2023년 상반기 제품 도면 파일이 유출
일단 찾아낸 내용은

1. 이메일을 통해 특정 파일 다운로드
2. 사내에서 사용하는 업무용 프로그램을 설치하는 공용 USB가 아닌 다른 USB 인식
3. 특정 프로그램(스크립트)를 이용하여 도면 파일 외부로 전송시도한 흔적
4. 유출한 도면을 프린트하였으나 고장나서 출력안됨.
5. 용의자가 개인적으로 작성하던 유출 목록 파일이 있다.

이메일, USB, 스크립트, 프린트, 유출목록파일을 찾으면된다.

2번 문제 (파일시스템 복구)

다른 파티션은 괜찮은데

2,5번째 파티션의 파일시스템이 인식이 되질 않는다.
해당 파티션을 확인해보자.

첫번째 섹터가 전부 0x0 으로 채워져있다.
근데 6번재 섹터와 마지막 섹터에도 MBR이 없다.

파티션이 사용되질 않는듯하다.
그러면 5번째 파티션을 복구하기 위해 봐보자.

첫번째 섹터가 완전히 비어있다.
6번째와 마지막을 확인해보자.

마지막에 NTFS VBR을 찾아내었다.
복구해보자.

이렇게 복구를 하기전에
1. 해당 문제의 이미지 파일은 압축형태인 e01 파일이므로 FTK Imager로 열은 후에 원본에 대한 복사본을 dd형태인 001 로 만들어줘야한다.
2. 해당 001 복사본을 HxD로 열어내서 기존에 확인했던 파티션의 위치로 돌아가서 VBR을 복구해주고 저장한다.
3. FTK Imager 로 파일시스템의 VBR 을 복구한 원본의 복사본을 열어내서 잘 인식이 되는지 확인한다.
이렇게 절차를 해야함을 알아두자.

음 잘 인식이 되는군.

2-1-1번 문제

증거 USB의 전체 섹터 수 / 전체 용량을 구하면 된다.

전체 섹터 = 58720256 개
전체 용량 = 512바이트 * 58720256 = 30,064,771,072 바이트

2-1-2번 문제

증거 USB의 시리얼 넘버를 구해야한다.
USB의 시리얼 넘버는 이전부터 계속 이야기했지만
온라인으로 제시되는 문제에서 주어지는 이미지 파일로는 찾아내는 것보다는
실제 시험장에서 오프라인으로 USB로 주어지는 피지컬 이미지 파일을 FTK Imager로 연결하여
해당 USB에 대한 복사본을 만들어내고 만들어낸 복사본의 Log txt 파일에 기재된 것을 이용하는 것이 좋다.

그래서 비트낭님께서 직접 올려주신 Log txt 파일을 확인하고 USB 시리얼 넘버를 확인하여 어떤 값을 올리면 되는지를 확인해보겠다.

01018e4fec1ce92517acd 이다.

2-1-3-1번 문제

윈도우가 설치된 파일시스템의 종류 / 볼륨 시리얼 넘버를 구하면된다.
윈도우가 설치된 파일시스템은

3번 파티션에 있다.
파일시스템은 NTFS 3.1 이며,
볼륨 시리얼 넘버는 5C2F-7321

2-1-3-2번 문제

클러스터 크기, 사용 가능한 클러스터 수를 구하면된다.

클러스터 크기는 4096바이트이며,
사용 가능한 클러스터 수는 6650776 개이다.

2-1-3-3번 문제

파일시스템의 전체 섹터 수, 전체 용량, 가용 용량
전체 섹터 수와 전체 용량은 파티션을 확인하면 되고,
가용용량은 파일시스템의 클러스터 수를 확인하면된다.

전체 섹터 수 = 53206214개
전체 용량 = 53206214 * 512 바이트 = 27,241,581,568 바이트

가용 용량 = 4096 바이트 * 6650776 = 27,241,578,496 바이트

2-1-4번 문제

해당 윈도우 시스템이 가장 최근 종료된 시간은 언제인가?
이거...분명 필기 시험 내용에서 레지스트리 분석하면 나오는 것이였다.
... 검색해보니까 HKLM\SYSTEM\CurrentControlSet\Control\Windows 에서 키 값중 ShutdownTime 키 값을 64비트로 나타난다고한다.
일단 이 값을 찾아내서 Rega를 이용하여 분석해보는게 좋을듯하다.
일단 HKLM의 SYSTEM 레지스트리 하이브 파일은 C\Windows\system32\config\SYSTEM 에 있다.

우와 사용해보니까 autopsy에서도 application 창에서 레지스트리 분석을 해주는 기능을 갖고있다.
SYSTEM에서 경로를 찾아가보면 ControlSet001\Control\Windows 의 키 값들을 확인하다보면 ShutdownTime 이 있다.
해당 값은 0x38 2A 8C 18 94 E7 D8 01인데
이걸 어떻게 타임라인 형태로 바꿀까 규빈님께 여쭤보았다.

학회에서 인정해주는 도구 중에 Dcode가 있었던게 기억이 나긴했다.
그래서 Dcode를 다운받아서 실행해봄

16진수(리틀엔디안) 으로 정하고 값을 그대로 넣은 후에 Decode해준다.
그러면 왼쪽에 각종 OS에 맞게 변환해준 타임라인 값이 보이게 된다.
아 지역도 설정해줘야한다. 서울로 해준다.
문제에서는 Windows 타임라인을 요구하였으니
2022-10-24 19:33:46 +09:00 이다.