ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 6번 문제) [FTK Imager]
    포렌식 통합/디지털 포렌식 전문가 2급 2024. 11. 14. 16:43

    6번 문제

    더보기

    이거 진짜 어려움;
    현우가 이렇게까지 도구 안쓰고 비트락커 푸는 방법이 있을줄은 몰랐다며 알려줬다.

     

    자 일단 문제에서는 해당 저장매체 = 가상머신 이다.

    가상머신에서 특정 파일시스템에는 암호화가 걸렸다고 말한다.

    바로 요 5번째 파티션을 말하는건데

    시그니처가 ex 이후에 FVE-FS라고 나와서 나는 순간적으로 exFAT인줄 알아서 헤매었다.
    그래서 현우랑 만기형이 말해주길 저 FVE-FS 라는 시그니처가 보이면 일단 비트락커로 암호화를 한 파티션이라고 한다.

    살면서 비트락커가 되게 어려워서 무서워했는데, 의외로 설명 들어보니까 문제 내는 수준은 복잡한게 문제였다.

    자 일단 이 비트락커 파티션을 쓰기 위해서는 부분적으로 파티션만 따로 추출해줘야한다.

    Export 해주고,

    여기서 인식을 시키기 위해서는 비트낭님께서 알아두면 좋다고 적어놓으신 vhd 파일 (가상 드라이브) 형태로 만들어줘야한다.

    https://bitnang.notion.site/USB-6fe64a2660c94979b6e8888c0d4d021b

    가상디스크로 USB 역할 대신하기 | Notion

    가상디스크로 연습이미지 만들기

    bitnang.notion.site

    요거다.

    컴퓨터 관리에 들어가서

    비트락커가 걸려있는 파티션 (아까 추출한 파티션) 의 크기와 똑같게 vhd (가상 드라이브) 를 만들어준다.

    요렇게 말이다.
    그리고 vhd 파일을 HxD로 열어준다.

    만들어낸 vhd 파일입니다.

    그러고 파일의 가장 마지막 섹터로 가서 저 섹터들을 모두 복사해주고,

     비트락커가 걸려있는 파티션의 가장 마지막에 복사한 1섹터를 추가해준다.

    이러면 최종적으로 비트락커 파티션 + vhd 마지막 1섹터 = After 비트락커 파티션 이 된다.

    이 만들어낸 비트락커 파티션의 확장자를 vhd로 바꿔주고 컴퓨터 관리에서 vhd 연결을 해주면된다.

    연결해주면?

    비트락커가 걸려있어서 액세스가 거부된다고 뜬다.

    보안 문제 때문에 이 화면을 캡처하는게 불가능하다... 그래서 폰으로 찍어서 보여드립니다.

    보다시피 암호를 입력하거나, 복구키를 입력해서 디스크의 비트락커를 해제하고 내부를 확인할 수 있다.
    무결성은 아까 vhd 연결 할 때 읽기 전용으로 해놓았으므로 보장이 된다.

    이제 남은건 암호 or 복구키 를 찾아내는 것이다.

    6번 문제 - 가. 암호화 복호화 키를 찾고, 찾은 과정, 암호해제 과정을 작성하시오.

    더보기

    문제를 통해서 암호는 몰라도 복호화 키를 찾을 수 있음을 알았으니 한 번 찾아보자.

    가상머신의 휴지통을 확인해보면, 텍스트 파일 하나가 있다.
    여기서 I로 시작하는 파일은 메타데이터이고, R로 시작하는 파일은 파일데이터이다.

    이렇게 I와 R이 한쌍으로 분리되어서 휴지통에 버려지게 되고, 복구하게되면 I (메타데이터) 를 통해서 R (파일데이터)를 원래 위치로 복구해준다.

    그리고 텍스트 파일의 내용을 보면, 273273-202334-697807-597663-602459-103411-510455-490479 라는 복구 키가 있다. 이게 비트락커의 복호화 키다.

    이렇게 입력해주면, 내부 파일 구조를 확인할 수 있다.

    이제 이 디스크 내부를 파일 탐색기로 보는 것이 아닌 FTK Imager나 Autopsy 처럼 디스크 브라우징 도구로 보려면 다시 한번 FTK Imager에서 추출을 해줘야한다.

    현재 비트락커 디스크는 암호화를 풀어냈고, 인식이 가능하다.

    그러므로 FTK Imager 에서 Logical Drive 에 들어가면 암호화가 풀린 형태로 정상적인 파티션으로 인식이 가능하다.

    이렇게하고

    Export해주면 암호화가 풀린 상태의 정상적인 이미지 파일로서 사용이 가능해진다.

    6번 문제 - (+@심화문제) 가. 생성형 이미지를 사용한 프롬프트와 모델명은 무엇인가?

    더보기

    일단 문제 자체를 이해 못하겠다.

    생성형 이미지를 사용한 프롬프트와 모델명...?

    이게 뭔 소리이지 싶다.

    킹무위키를 난 믿어 (원래는 믿으면 안되지만.)

    쨋든 AI로 이미지를 생성할 때 사용한 명령어와 AI 모델명을 찾아내라는 것이구나.

    딥페이크에 관련된 시나리오에서 나온 AI에게 입력값으로 프롬프트를 모델에게 넣어줬다는 흐름이다.

    그러면 로그 같은걸 찾아내면 프롬프트를 찾아낼 수 있는 것인가?

    자세히 보니 stable-diffusion-webui\log\images 에 만들어낸 이미지와 프롬프트 값이 있다.

    이 log.csv를 추출해서 확인해보자.

    prompt 와 sd_model_name으로 프롬프트와 모델명이 나와있다.
    프롬프트는 여러개인데, 모델명은 1개로 통일되어있다.


    (+@심화문제) 가. 생성형 이미지를 사용한 프롬프트와 모델명은 무엇인가?
    : 사진에 나온 값 / henmixReal_v5c

    6번 문제 - (+@심화문제) 나. 사용한 모델을 다운로드한 출처는 어디인가?

    더보기

    (놑북에서 다시 분석해서, 파일이나 폴더의 이름이 다를 수도 있긴한데, 같은 문제 파일입니다.)

     

    사용한 모델을 다운로드한 출처를 구하기 위해서는 일단 통상적으로 생각이 드는건 Zone 파일이다.

     stable-diffusion-webui 에서 models 라는 폴더가 있다.

    models를 확인해보면 여러개의 모델들이 있다.
    근데 폴더 이름과 파일 내용들이 어떠한 것들인지 이해가 안되어서 형원이한테도 좀 물어보고, 채린이랑도 좀 알아봤는데,

    Codeformer, deepbooru, GFPGAN, hypernetworks, karlo, Lora, Stable-diffusion, VAE 등 모두 실제로 존재하는 모델이다.

    근데 위에 가. 번 문제에서 찾아낸 모델명은 henmixReal_v5c인데, 이 모델명이 있는 파일은 Stable-diffusion 하위에 있다.

    왜 그런가를 채린이랑 좀 알아봤는데, henmixReal_v5c 는 기존에 만들어진 Stable-diffusion 모델을 커스터마이징하여 이름 붙인 새로 파생된 모델명이다.

    (그리고 이건 여담이지만 ckpt와 safetensors 확장자 파일은 모델은 없고, 가중치만 들어간 파일이다.

    henmixReal_v5c.safetensors 파일은 henmixReal_v5c 모델을 기준으로 만들어진 가중치만 있는 파일이고,
    이 파일을 다운로드 받을 때 함께 만들어진 Zone 파일을 확인하면 civitai 라는 사이트가 확인된다.

    civitai 사이트를 들어가보니까 여러개의 모델과 데이터 셋들을 커스터마이징하고 결과를 낸 파일들을 서로 공유하는 사이트임을 알았다.

    그러므로 사용한 모델의 출처는 civitai 사이트 이다.


    나. 사용한 모델을 다운로드한 출처는 어디인가?
    : https://civitai.com

    6번 문제 - (+@심화문제) 다. Webui 의 경우 이미지 생성 후 특정 폴더에 생성된 이미지를 자동 저장한다. 해당 경로를 찾아라

    더보기

    아까 찾은 log 파일에 생성된 이미지가 있었지만, 사실 다른 경로에서도 생성된 이미지를 찾을 수 있다.

    stable-diffusion-webui\outputs\txt2img-images\2024-06-23 내부에서도 발견할 수 있었다.
    그 외에도 txt2img-images 말고도 txt2img-grid 에도 있는데, 전부 확인하는건 너무 오래 걸리니 autopsy에서 찾아내준 이미지 파일들의 경로명들을 대강 훑어보고 수색범위를 축소해보자.

     

    대충 확인해보니까 output 아래 폴더에 날짜와 사용한 형식에 맞게 이미지들이 저장되는 것 같다.

    txt2img-grids 는 그리드형태로 이미지 여러개가 붙여져서 1개의 이미지 파일로 출력 결과가 나온다.
    txt2img-images 는 단일 이미지 파일이 출력 결과로 남는다.
    그러므로 문제에서 요구한 생성된 이미지를 저장하는 폴더는 stable-diffusion-webui\outputs 이라고 볼 수 있다.


    다. Webui 의 경우 이미지 생성 후 특정 폴더에 생성된 이미지를 자동 저장한다. 해당 경로를 찾아라
    : stable-diffusion-webui\outputs

Designed by Tistory.