디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 1,2번 문제) [FTK Imager]

1번 문제

가상머신이 암호화 되어있다.
암호키를 찾고, 가상머신의 저장매체를 복호화하고 복호화 암호를 찾은 방법에 대해 서술하는 문제이다.

문제가 가상머신의 암호화와 가상머신 내에서 비트락커로 암호화가 있어서 총 2개의 방향으로 해석이 가능해서 비트낭님의 풀이를 보고 뭐가 맞는지 알아보니
그냥 가상머신의 암호 걸려있는걸 풀어내면 되는 것이였다.

https://wintersnowaaa.tistory.com/42

디지털포렌식 2급 실기 기본 분석 문제 (2024 모의 문제 풀이 - 1,2번 문제) [FTK Imager]

2번 문제에서 나온 내용들로 정답을 다 알아낼 수 있다.

1. 가상머신이 암호화되어 있다. 가상머신의 암호키를 찾고 가상머신의 저장매체를 복호화 하고, 복호화 암호를 찾은 방법은 무엇인가?

: USB의 '가상머신 사용법.docx' 를 찾아냈고, 파일의 구조를 확인하여 zip -> docx 로 변환했음을 알아냄
이후 zip 파일의 내용을 확인하여 복호화 암호(가상머신 비밀번호)를 찾아냄

2번 문제

음... 아무리 생각해도 뭔가 확실하다 싶을 정도의 이 문제에 대한 답변을 찾기가 힘들었다.

용의자의 것이라고 볼 수 있는 가능성은 지속적으로 계속 파다보면 어떻게든 나오는데,
수사관의 재량에 따라서 용의자의 것이라고 볼 수 있는 증거물이 드러나기 때문이다...

솔직히 내가 아는건 그나마 NPKI 폴더는 공인인증서 폴더이고 하위에 USER/cn=김딥페()0077..... 이러한 폴더가 있기 때문이라고 추측했는데,

사실 공인인증서에 관해서 공부해본 적이 없어서 자신없었는데

풀이보니까 이게 맞았음.

그리고 해당 공인인증서 키 파일을 export해서 확인해보면 발급 대상이 김딥페라는 것을 확인할 수 있다.
통상적으로 공인인증서를 본인이 갖고 있으므로, 해당 USB의 소유가 용의자의 것으로 볼 수 있다.

2. 발견한 USB 의 소유가 용의자의 것으로 볼 수 있는 가능성이 큰 이유는 무엇인가?

: USB 내의 NPKI/yessign/USER/cn=김딥페()00777777007077.... 내의 공인인증서는 김딥페의 것이기 때문이다.