wintersnowaAa wintersnowaAa

최근에 bitnang님께서 2024년도 2번째 모의 문제를 만드셨습니다.풀이는 아마... 시험 끝나고 정리하면서 작성할듯하고요.일단 연습하다보니까 처음으로 분석 보고서를 써보았습니다.참고하실분들은 참고하셔도 좋고, 부족한 부분이 있다싶으면 코멘트 남겨주시면 감사하겠습니다!

8번 문제더보기8번 문제는이러하다.일단 프린트를 했다고 생각하면 가장 먼저 드는 아티팩트는 음...이벤트 로그라고 생각한다.그리고 추가적으로 Shadow (SHD) 파일과 Spool (SPL) 파일이 생각난다.내 기억으로는 프린트 관련 포스팅을 한 번 했던걸로 기억하는데....아. 드림핵에서 이벤트 로그 강의를 보다가 논문인가 있던걸 기반으로 정리하는 글을 쓸 때 논문 내용에 있었다.아직 작성 중이긴한데 그냥 올려놓고 차차 수정해야겠다.https://wintersnowaaa.tistory.com/49 이벤트 로그 (참고) [지속수정]- USB, 외장 하드 디스크와 휴대폰 같은 외부저장장치 (Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx)더보기..

7번 문제더보기7번 문제공모한 사람의 의뢰를 받고 특정 파일을 외부로 유출하였다고 한다. 외부로 유출한 파일은 무엇으로 의심되며, 어디로 유출하였는가? 이전에 배웠던 유출 관련 시나리오를 떠올리면 풀어보려고 한다.일단 가정을 어느정도 세워보자면, 비트락커로 걸려있던 파티션은 이미지 생성 ai를 사용하기 위해서이고, 만들어낸 이미지 유출은 기존 가상머신에서 흔적을 찾을 수 있을 것 같다.일단 앞선 내용에서 누군가와 공모했던 메일을 다시 확인해보면,LouisDin@proton.me 라는 사람에게 메일이 왔다.그러면 일단 LouisDin@proton.me 이라는 메일에 대한 키워드 검색을 해볼 필요가 있을듯하다.지금 Autopsy 모듈을 돌려놓고 다른 흔적을 찾아놓기 위해서사용자\AppData\Roaming\..

6번 문제더보기이거 진짜 어려움; 현우가 이렇게까지 도구 안쓰고 비트락커 푸는 방법이 있을줄은 몰랐다며 알려줬다. 자 일단 문제에서는 해당 저장매체 = 가상머신 이다.가상머신에서 특정 파일시스템에는 암호화가 걸렸다고 말한다.바로 요 5번째 파티션을 말하는건데시그니처가 ex 이후에 FVE-FS라고 나와서 나는 순간적으로 exFAT인줄 알아서 헤매었다. 그래서 현우랑 만기형이 말해주길 저 FVE-FS 라는 시그니처가 보이면 일단 비트락커로 암호화를 한 파티션이라고 한다.살면서 비트락커가 되게 어려워서 무서워했는데, 의외로 설명 들어보니까 문제 내는 수준은 복잡한게 문제였다.자 일단 이 비트락커 파티션을 쓰기 위해서는 부분적으로 파티션만 따로 추출해줘야한다.Export 해주고,여기서 인식을 시키기 위해서는 비..

5번 문제더보기사실 그렇게 어려운 문제는 아니다.도구를 사용한다면...Autopsy의 기능에서는 쉽게 찾아준다.하지만 레지스트리의 어떠한 값을 통해서 정보를 제공하는지를 알아야 공부하는 의미가 있겠지?https://wintersnowaaa.tistory.com/39 Find the USB이전 문제도 그냥 포스팅 다 해야겠다.음 금방했다. 대충 30분정도 걸렸네이미 아는 내용들이고, 동아리 후배 애들 멘토링할 때 하도많이 다뤘던 것들이라서 빠르게 끝냈다.자 이번 문제에 대한wintersnowaaa.tistory.com얼마전에 분명히 해당 레지스트리를 본 것 같았는데드림핵 디포 강좌에서 있었구나...이번 문제도 이전 문제와 같게 HKLM의 SYSTEM에 존재했다.HKLM이니까 Windows\System32\..

4번 문제더보기개인 거래내역을 찾아야한다.힌트로 파일명의 변경이 있었다는 것이다.이러면 사실 브라우저 아티팩트도 한 번 봐보는게 좋다.one drive도 그렇고노션으로 다운로드도 가능하고,크롬으로도 다운로드가 가능한데 이에 대한 아티팩트를 수작업으로 찾는건 꽤나 어렵다.그래서 Autopsy의 웹 다운로드 내역들을 쭉 훑어보려고 했는데ImageView.jpg 파일에 대한 Zone 파일이 존재했다.내용을 확인해보면 구글 드라이브를 통해서 다운로드 받은 링크가 있다.그래서 구글 드라이브에 대한 아티팩트를 찾아보려했는데 없다.링크를 통해서 다운로드 받은건지, 구글 드라이브 응용 프로그램을 이용해서 다운 받았는지 자세하게 파고드는 것도 힘들 것 같아서 그냥 ImageView.jpg 파일을 찾기로 결정했다.근데 파..

이제부터 푸는 문제는 본격적으로 디포2급 자격증 시험이라는 가정하에 꽤나 시간이 드는 것에 해당하는 문제들입니다.주로 사용자 pc의 바탕화면, 다운로드 내역, 웹 브라우저 아티팩트, 프리패치, Windows 이벤트 로그 등의 많은 파일들을 자세히 들여다보고, 디스크의 구성을 시간을 들여 파악했다는 전제하에 풀 수 있으므로, 앞으로 나오는 풀이는 충분히 고민을 해보시고 답이 나온다면 일치하는지,충분히 고민해도 답이 안나오신다면 어쩔 수 없이 풀이는 보는 용도로 봐주시면 됩니다.중요한건 자신이 알고 있는 지식 범위 내에서 충분한 시간을 들여 꼼꼼히 확인했냐는 것입니다. 3번 문제더보기위에서 이야기한 것처럼 충분히 볼 수 있는 것이 좋겠지만,디포2급 시험은 시간제한이 있고, 도구 제한도 있다.그러므로 도구의 ..

1번 문제더보기가상머신이 암호화 되어있다.암호키를 찾고, 가상머신의 저장매체를 복호화하고 복호화 암호를 찾은 방법에 대해 서술하는 문제이다.문제가 가상머신의 암호화와 가상머신 내에서 비트락커로 암호화가 있어서 총 2개의 방향으로 해석이 가능해서 비트낭님의 풀이를 보고 뭐가 맞는지 알아보니그냥 가상머신의 암호 걸려있는걸 풀어내면 되는 것이였다.https://wintersnowaaa.tistory.com/42 디지털포렌식 2급 실기 기본 분석 문제 (2024 모의 문제 풀이 - 1,2번 문제) [FTK Imager]시작하기 전에 앞서 이번 문제는 정말 어렵다...문제가 꽤 많아서 제 블로그만 보고 공부를 하시는 분들은 다른 분들의 문제 풀이도 보시고비트낭(bitnang)님의 이전 문제들을 먼저 풀어보신 후 ..