디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 4번 문제) [FTK Imager]

4번 문제

개인 거래내역을 찾아야한다.
힌트로 파일명의 변경이 있었다는 것이다.

이러면 사실 브라우저 아티팩트도 한 번 봐보는게 좋다.

one drive도 그렇고
노션으로 다운로드도 가능하고,
크롬으로도 다운로드가 가능한데 이에 대한 아티팩트를 수작업으로 찾는건 꽤나 어렵다.

그래서 Autopsy의 웹 다운로드 내역들을 쭉 훑어보려고 했는데

ImageView.jpg 파일에 대한 Zone 파일이 존재했다.
내용을 확인해보면 구글 드라이브를 통해서 다운로드 받은 링크가 있다.

그래서 구글 드라이브에 대한 아티팩트를 찾아보려했는데 없다.
링크를 통해서 다운로드 받은건지, 구글 드라이브 응용 프로그램을 이용해서 다운 받았는지 자세하게 파고드는 것도 힘들 것 같아서 그냥 ImageView.jpg 파일을 찾기로 결정했다.

근데 파일 뷰어 기능으로도 못 본다.
hex 값을 확인해보면,

처음보는 파일 시그니처를 갖고 있다. 그래서 챗지피티한테 물어봤다.

OLE 이라고 Object Linking and Embedding 파일이다.
요건 보통 MS Office 에서 만들어낸 ppt, doc, xls 등의 파일들이 이 포맷을 사용한다.

이전까지 내가 알고 있던 pptx, docx, xlsx 는 xml 기반이고, pk 파일처럼 압축형태를 띄는 것은 알고 있었는데,
그 이전 버전의 파일 포맷 구조에 대해서는 공부해본적이 없어서 몰랐던 것이다.

그래서 구글링을 해서 봐보니,

https://bonggang.tistory.com/136

[File Structure] OLE(Object Linking and Embedding) 파일 구조

이 분의 글을 참고해서 보면 될듯하다.
어쨋든 이게 MS Office 2003 이전의 문서 파일인데, doc인지, ppt인지, xls인지를 모르니까

일단 export하고 확장자를 바꿔가면서 확인해보자.

암호가 있다.

ppt로 바꿔도 똑같다.
결국에는 비밀번호를 찾아야한다는 것이다...

비밀번호를 찾다가 너무 못 찾겠어서 풀이를 봤는데...

USB 이미지 파일내에서 '거래관련.jpg' 라는 파일에 스테가노그래피로 비밀번호가 숨겨져있었다.;

거래관련 jpg는 파일의 크기가 너무 크다.

다른 hwp 파일들보다도 훨씬 크기도하고
이미지 뷰어 기능으로도 봐도 화질에 비해 좀 크긴한듯하다.

jpg 파일의 헤더 시그니처랑 푸터 시그니처를 찾아서 구분하고 이후에 스테가노그래피가 있는지 확인해보자.

뒷부분의 FF D9 를 찾아보자.

FF D9를 찾았고 바로 뒤에 FF D8이 존재하는 것을 확인할 수 있었다.

근데 추가적으로 FF D8 ~ FF D9 패턴이 총 3번이였다.
1개의 파일에 3개의 파일이 존재하는거다.

다 추출해서 확인해보자.

두번째 사진에 비밀번호가 있었다.

사실 파일들간의 경계부분에 base64로 인코딩된 값이 보이는데 이걸 디코딩해서 봐도 비밀번호는 나오긴한다.

근데 실제 시험장에서 진짜로 스테가노 내면 웬만해서 풀기 힘들다...
스테가노그래피 도구는 실기시험 도구 목록에 있지도 않고, 통합 도구 기능도 솔직히 탐색율이 높지 않아서....

파일을 꼼꼼히 잘 보고, 시나리오의 흐름에 맞게 찾아내야한다.

doc 과 ppt 는 열리지 않았다.

xls 로 열고 비밀번호를 입력하면 거래내역이 나오게 된다.

 

4번 문제 - 가. 파일명을 변경하였다, 다운받을 때 파일명과 변경한 파일명은 무엇인가?

문제를 풀기 위해서는 NTFS Log Tracker를 사용해야한다.

$MFT, $LogFile, $J 파일을 추출하여 데이터를 뽑아보자.

csv로 뽑아서 필터 기능으로 정렬하고 검색해서 찾아봐도 좋다.

찾아야할 파일은 ImageView.jpg 이다.

LogFile 에서는 나오지 않고,
UsnJrnl 에서 2024-06-23 17:15:52 시각에 파일의 이름을 변경한 것이 나온다.
UsnJrnl 에서 파일의 이름 변경은 1개의 로그 안에 담기지 않고, 

1. 변경 전 이름의 파일
2. 변경 후 이름의 파일 로 크게 2개로 나뉘어서 이렇게 검색해도 이전 이름이 나오지 않는 것이다.
그러므로 변경 할 때 인근에 파일 이름 변경 관련 로그가 찍혔을 것이니

USN 43589632~ 43589896 인근을 둘러보면 변경 이전의 이름이 나올 것이다.

찾았다.
더욱 더 확신 지을 수 있는 방법은

각 파일이나 디렉토리에 고유하게 번호로 매겨지는 FileReferenceNumber 가 일치한 것을 통해서 알 수 있다.

가. 파일명을 변경하였다, 다운받을 때 파일명과 변경한 파일명은 무엇인가?
: BB은행.xlsx / ImageView.jpg

4번 문제 - 나. 해당 파일을 다운로드 받은 경로

요건 꽤나 쉽다.

앞에서 Autopsy에서 ImageView.jpg 파일에 대한 Zone 파일을 통해서 추리를 했었다.
Zone 파일을 통해서 답을 찾을 수 있다.

나. 해당 파일을 다운로드 받은 경로
: https://drive.usercontent.google.com/download?id=1DLdLqOLxf5VolpsEfvdjuPOMMUUhdJf9&export=download&authuser=0&confirm=t&uuid=4fc024ec-bbc8-4592-aacc-95966b5865f0&at=APZUnTWlwxRZhcOY_5t71plZtvDu:1719130524770