포렌식 전문가 2급 LAB-1 가상문제 - 문제 4번

4번 문제

3번 문제의 증거물에서 특정 확장자 (.lnk) 파일을 검색하여 증거매체가 다른 매체에 저장되었던 흔적을 찾아 기술하라.

다른 매체에 연결 되었던 증거, 볼륨번호, 시간, 파일크기, 그 외적으로 증거로 판단되는 근거를 찾아 기술하라.

​

​4번문제는 답을 해결하는 방법을 설명하겠다. 문제 복원이 완벽하지 않기 때문이다. 그러나 해결방법을 잘 이해한다면 아주 쉽게 해결이 가능한 문제이다. 이 문제의 요점은 특정 확장자의 파일을 검색하여 그 파일에서 정보(다른 매체에 연결되었던 증거, 볼륨번호, 시간, 파일크기, 그 외적으로 증거로 판단되는 근거) 를 기술해야하는 문제이다.

실제적으로 문제를 복구하지 못해 가시적으론 볼 수 없지만, 문제를 해결하는 방법을 충분히 숙지하면 충분히 해결이 가능하다.​

 

==================================================================================

 

​​

​먼저 .lnk 파일을 검색하여야 한다. 상단 탭에서 Search 를 클릭하여 해당 탭으로 이동한다.

​

 

자, 순서대로 설명하겠다.

먼저 Search Term 부분에서 .lnk 를 입력하고 오른쪽에 Add 를 클릭한다.

그럼 Search Items 에 .lnk 가 추가된것을 확인할 수 있다. .lnk 의 파일 갯수도 확인 가능하다. 그리고 하단에 View Cumulative Results ? 를 클릭한다.

 

 

View Cumulative Results ? 를 클릭하면 위와 같이 Filter Search Hits 가 나타난다.

All files 를 선택하고 하단에 OK 를  클릭하면 확장자가 lnk 로 된 파일들 목록이 아래에 나타난다.

 

 

자. OK 를 누르면 하단에 확장자가 lnk 인 파일들 목록이 쫙 나타난다. 원래 나타나야 한다. 하지만 본인이 문제복구를 못하여 위와 같이 엉뚱한 파일이 나타난 것이다. 실제 문제에서는 확장자가 lnk 인 파일만 검색이 된다.

요점은 특정확장자의 파일을 검색할 때는 이와 같이 검색을 해서 찾으면 된다는 뜻다. 이제 검색된 파일을 선택하고 방향키로 하나하나씩 선택하여 확인을 해보면

 

 

 

위 영역에 정보들이 나타난다.

실제 6회 실기 문제에서 본인은 .lnk 파일을 검색하여 하나하나씩 싹다 확인을 하였다.

그럼 위 영역에 특정 이미지가 나타나는데 그 이미지 안에

다른 매체에 연결 되었든 흔적, 볼륨 번호, 시간, 파일 크기가 나타난다.

 

다른 매체에 연결 되었던 흔적은 C:\내문서 이런 식으로 나타나 있고

볼륨 번호 역시 AAAA-BBBBBB-CCCCCC 이런 식으로 정보가 나타나 있다.

시간역시 생성,접근,수정 시간이 나타나 있고 파일 크기 역시 L-Size, P-Size 식으로 나타나 있다.

이런 정보가 파일 하나에 모두 나타나게 된다.

본인 역시 실기문제에서 이런식으로 정보를 찾아서 답을 기술하였다.

 

그 외적으로 증거라고 판단하는 근거는 파일 크기를 기준으로 하였다.

검색된 .lnk 파일은 증거물로 의심되는 파일이다. 이 파일이 다른 매체에 연결되었던 흔적이란 다른 매체에 있던 증거물이 지금의 USB 에 저장이 되었기에 제일 처음엔 다른 매체에 저장되어 있었던 경우인 것이다. 그러므로 .lnk 로 검색된 파일에서 그 정보를 나타내는데, 다른 매체에 연결 되었던 흔적이 이렇기 때문에 흔적이 나타난 것이다.

그래서 이 파일은 증거물 파일이므로 그 파일 크기를 비교해 보면 된다.

​

파일크기까지 정보를 나타내준다. 그 파일크기의 용량과 실제 증거물 파일의 용량을 비교하면 용량 크기, 할당된 파일 크기를 확인하면 일치하는걸 확인할 수 있다.

이렇게 함으로서 증거물 파일이라고 판단할 수 있는 근거가 되는 것이다.

 

다시 말해 .lnk 파일은 다른 매체에 연결된 흔적, 볼륨 번호, 파일크기, 시간 을 전부 나타내주고 있으며, 이 파일은 증거물 파일에 해당한다. 그럼으로서 실제 증거물 파일의 크기와 현재 .lnk 에서 나타내주는 크기를 비교하여 일치함을 증명함으로 증거물이라고 판단하는 근거가 되는 것이다. 

 

=================================================================================

 

4번문제는 문제 복원이 제대로 되지 않아 답을 찾는 방법만 설명하였다. 그러나 이 설명을 잘 정독하면 실제 문제에서 어떻게 접근하여 찾아야 하는지 어려움 없이 해결이 가능할 것이라 생각한다.

Search 탭에서 특정 확장자를 입력하여 검색하고 그 파일을 분석함으로서 문제가 요하는 부분에 대한 답을 찾을 수 있는 문제였다.

.lnk 에서 . 은 확장자가 lnk 로 연결된 모든 파일을 검색하는 의미가 된다.

특정 파일의 확장자를 검색하려면 파일이름.확장자 이런식으로 검색하면 되고

특정 확장자를 모두 검색하려면 .확장자 를 검색하면 된다.

 

이렇게 검색된 파일을 하나하나 분석하다보면 문제가 요구하는 답을 찾아서 기술할 수 있게 된다.

본인 역시 실기문제를 이렇게 분석하여 기술하였고, 지금의 문제와 방법은 이번 6회차 실기문제에서 풀이한 방법이다.