wintersnowaAa wintersnowaAa

2-1번 문제더보기d1d3a12062725e2881fe1fa9fe32c638 의  MD5 값을 가진 파일을 찾아야한다.FTK Imager로는 기능이 부족할테니 Autopsy를 써보자.일단 이전처럼 확장자와 시그니처가 맞지 않는 파일들부터 봐보자.대부분의 파일들은확장자 뒤에 :Zone.Identifier 로 붙었다.이게 뭐인지 검색해보면,Alternative Data Stream 이였구나.그냥 메타데이터에 대한 정보를 저장하는 파일이라고 생각하면 편하다.Zone.Identifier은 너무 많으니까 넘어가고그 외의 파일들은압축파일이지만 jpg 확장자를 가진 오징어구이.jpg압축파일이지만 pdf 확장자를 가진 d2793e98fd7b0e49b9d62797061199ed.pdf이 두개를 확인해보자.만약에 이 두개..

2018은 대략적으로 풀이를 보고 따라가며 풀어봤다.2019 모의 문제는 일단 처음부터 가능한 부분까지 혼자 풀어보고,막히는 문제는 풀이를 보면서 해보자...일단 시나리오는 이러하다,회사의 직원 킹유출씨가 디자인을 유출한 정황이 포착.책상에서 USB 발견, 해당 USB에는 다양한 안티포렌식 기법. (이거 꽤 중요해보임.)어떠한 이득을 취하였는지 파악해야한다.1-1번 문제더보기증거물 사본을 생성하고 각 문제 항목의 답안을 작성하시오.USB 증거 사본을 생성하는 과정과 결과를 단계별로 기술하시오.이전의 문제와 비슷하다.일단 나름대로 정리해본 과정은 이러하다.1. 레지스트리 편집기를 통해 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control에 StorageDevicePo..

4번 문제는 어느정도 서술형의 문제라고 보면 된다.1~3번의 과정에서 얻어낸 이메일의 증거를 수집해서 법정에 제출하였다고한다.그러니까 친구에게 시나리오를 부탁해서 얻어낸 과정의 유출 이메일 파일을 제출한 것이다.몇가지 짚고 넘어갈 부분은 1. 해당 문제는 경찰에 고소 하였으므로 형사소송법 상 증거법칙을 따라야한다.그러므로 엄격한 증명이 이뤄줘야한다. 2. 그래서 전문증거법칙이 적용되는 상황이다.일단 이메일 증거는 인적 증거가 아니라 물적 증거이다.그리고 서류의 내용이 유출의 증명을 하므로,어떻게보면 서면으로써의 증거능력을 갖게 된다.해당 증거는 전문증거인지 짚어봐야한다.1. 사람의 경험적 사실에 관한 대체증거2. 법정 외 진술에 관한 증거3. 그 진술내용의 진위 여부를 입증하기 위해 제출하는 증거이 중에..

이번에는 3번 문제를 풀어야겠다.3-1번 문제더보기내부자료를 외부로 유출한 파일(시나리오 원본)과 관련 파일을 찾고 증거의 속성을 기재하라.이건 앞에 2-1번 문제에서 나온 명량.pdf에 대해서 말하는 것 같다.근데 이것과 관련된 파일을 찾고 증거의 속성을 기재하라는 것은 USB 접속 로그 기록 같은 것을 말하는 것일까.비트낭님께서 풀이하신 것을 보면, msg 파일 (메일 파일)을 확인하셨다.디스크 브라우징쪽에서 File Types - By MIME Type - application - vnd.ms-outlook 을 통해서 메일을 확인하셨다.하지만 혹시 모르니 나는 키워드 검색을 통해서 찾아내보았다..msg 로 키워드를 검색해보면 많이 나오진 않는다.대략 다 합쳐서 7일 파일들이 보인다.이 중에 중요하다..

다시 돌아와서 2번 문제를 풀어봐야한다.2-1번 문제더보기2-1번의 문제는 SHA1 값이 98debd6a350baccb3e25fc7c2cd5de5ea09a7488 인 파일을 찾고 파일명, 크기, 시간 정보를 구해야한다.비트낭님께서는 Encase의 파일 확장자와 시그니처의 분석 기능을 이용해서 풀으셔서 FTK Imager로 문제를 풀어보려는 나한테는 한계가 있는 문제였다. (정확하게는 너무 힘든 노가다성을 띄는 문제다.)비트낭님께 이런 경우에는 어떻게 풀으냐고 물어봤는데Autopsy를 추가적으로 사용하여 풀이한 pdf 파일을 참고하라고하셔서 한 번 보았다.autopsy로 새로 case를 만들었다.이름은 2018로 지었다.디스크 이미지를 분석할 것이니맨 위에꺼로 정해주고파일시스템을 복구해놓고 저장한 2018..

음...아무래도 NTFS 공부도 미뤄야겠다.실기 공부를 하다보니까 이런 저런 막히는 구간이 많았네.해당 문제는 비트낭님의 Notion을 참고하여 풀었다.https://bitnang.notion.site/EnCase-2018-72636be3fe5d4a5c91b087d3d1050c55사실 풀면서 풀이는 안보고 풀어봤는데 일단 1번 문제까지는 술술 풀렸는데 2번부터 막혀서 난항이 있었다...그리고 Encase는 상업화된 프로그램이라서 회사나 기관에 소속되어 라이선스를 빌려서 도구를 사용하지 못하는 학생들은 어떻게 풀어야하는지 비트낭님께 여쭤보고 풀이를 쓴다. [EnCase]2018 모의 문제(윈도우포렌식) | Notion모든 화면은 Ctrl + Enter 를 통해 큰 화면으로 볼 수 있습니다.bitnang.n..