wintersnowaAa
디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 8번 문제) [FTK Imager] 본문
디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 8번 문제) [FTK Imager]
wintersnowaAa 2024. 11. 16. 17:578번 문제
8번 문제는
이러하다.
일단 프린트를 했다고 생각하면 가장 먼저 드는 아티팩트는 음...
이벤트 로그라고 생각한다.
그리고 추가적으로 Shadow (SHD) 파일과 Spool (SPL) 파일이 생각난다.
내 기억으로는 프린트 관련 포스팅을 한 번 했던걸로 기억하는데....
아. 드림핵에서 이벤트 로그 강의를 보다가 논문인가 있던걸 기반으로 정리하는 글을 쓸 때 논문 내용에 있었다.
아직 작성 중이긴한데 그냥 올려놓고 차차 수정해야겠다.
https://wintersnowaaa.tistory.com/49
이벤트 로그 (참고) [지속수정]
- USB, 외장 하드 디스크와 휴대폰 같은 외부저장장치 (Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx)더보기 (그 중에 이벤트 ID 2003, 2101 을 통해 장치에 대한 레지스트리 키 정보를 알아낼 수 있
wintersnowaaa.tistory.com
여기에서 프린터 사용 (PrintService\Operational.evtx) 를 확인해보면 될듯한데...
아쉽게도 PrintServie\Operational.evtx 파일이 없었다.
윈도우 버전이 다르거나 의도적으로 문제에서 제외했거나겠지...
그럼 Shadow (SHD) 파일과 Spool (SPL) 파일을 찾아봐야한다.
Windows 기준 SHD 파일과 SPL 파일의 경로명은 다음과 같다.
SHD : C:\Windows\System32\spool\PRINTERS
SPL : C:\Windows\System32\spool\PRINTERS
둘 다 같았구나.
여기서 SHD 파일은 인쇄하는 파일의 메타데이터 같은 것을 포함하고,
SPL 파일은 인쇄하는 파일 즉 파일 데이터 그 자체로서 쓰인다.
해당 경로에는 2개의 파일이 인쇄된 것으로 보인다.
8번 문제 - 가. 해당 파일명은 무엇인가?
파일명을 찾기 위해서 분석을 해보자.
일단 EMF 파일은 예전에 학교에서 멀티미디어 수업 때 들은 기억이 있다.
그...뭐시더냐 비트맵처럼 이미지를 표현하는 방식은 아니고, 벡터 값에 따른 이미지 표현 방식이였던게 기억나는 것 같은데...
일단 EMF 파일 구조보단 SPL 파일 구조에 대해서 알아보는게 더 우선일듯하다.
이거 설명대로라고하기엔....
으음.... 설명대로의 구조가 아닌데...
더 알아보고 정리해보자면,
프린트의 spl 파일의 저장형태는 프린터마다 설정 할 수 있다.
1. raw (원시 형태)
2. emf (벡터 기반)
이렇게 2가지로 나뉠 수 있는데,
raw 형태로 저장하면 (숫자).spl 이런식으로 이름이 붙지만,
emf 형태로 저장하면 (FP)(숫자).spl 이런식으로 이름이 만들어진다.
근데 위의 파일은 (숫자).spl 형태인데 파일의 형태는 emf 이다.
이건 사실 프린트의 모델과 드라이버에 따라서 다를 수도 있다고 한다.
가능성은 2가지 정도이려나
1. raw 형태로 저장하게끔 설정되어있지만, 원본 파일이 emf 포맷이다.
2. emf 형태로 저장하게끔 설정되어있지만, 파일 생성시 만들어지는 이름이 (숫자).spl 이다.
이렇게 나오는 이유가 모델과 드라이버에 따라서 달라지는 것 때문이라니.....
일단 덕분에 정확하게 파일의 구조에 대해서 알지는 못하지만, text 인코딩된 오른쪽의 값을 확인해보면,
그래도 파일명은 확인 할 수 있어서 다행이네....
가. 해당 파일명은 무엇인가?
: Silver Hair.png
8번 문제 - (+@심화문제) 나. 프린트한 내용은 무엇인가? (그림파일 형태)
위의 내용대로 제대로된 파일 구조를 모르므로, 어디서부터 어디까지 응용프로그램이 인식할 수 있는 emf 파일인지 알 수가 없어서 그냥 풀이를 봤다...
요건 내가 MS 에서 EMF 파일에 대해 정리해놓은 공식 문서를 한글로 번역해놓은 파일이다.
천천히 꼼꼼하게 읽어보고 이해해볼 수 있으면... 해보길 바란다...
난 못하겠다 진짜 이해가 안된다 읽어봐도
spl 의 파일에 EMF 라는 문자열이 있다.
.... 비트낭님께 궁금한 점을 물어봤는데 해결 되었다 결론만 짓자면,
EMF 파일의 시그니처는 01 00 00 00 으로 45 4D 46 00 인 EMF 문자열이 아니다.
http://forensic-proof.com/archives/300
파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF
forensic-proof.com
요기 시그니처 정리 목록을 봐도 나오긴한다.
그러므로 01 00 00 00 에서부터 끝까지가 EMF 파일이고, 앞의 부분은 spl 헤더이다.
spl 헤더를 날려주고 그림판으로 열면 파일이 열린다.
파일이 나온다.
(+@심화문제) 나. 프린트한 내용은 무엇인가? (그림파일 형태)
: spl 헤더를 날려낸 파일 (그림판)
'포렌식 통합 > 디지털 포렌식 전문가 2급' 카테고리의 다른 글
| 디지털포렌식 2급 실기 (2024-2 모의 문제 분석 보고서) (1) | 2024.11.21 |
|---|---|
| 디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 7번 문제) [FTK Imager] (4) | 2024.11.16 |
| 디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 6번 문제) [FTK Imager] (3) | 2024.11.14 |
| 디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 5번 문제) [FTK Imager] (2) | 2024.11.10 |
| 디지털포렌식 2급 실기 시나리오 관련 문제 (2024 모의 문제 풀이 - 4번 문제) [FTK Imager] (3) | 2024.11.08 |
