[6회] 20151128 디지털 포렌식 전문가 2급 실기 후기

2015년 11월 28일 성균관 대학교 법학과 지하 1층 109호

새벽 5시 부터 잠이 깨서 기초적인 포렌식 절차를 외우면서 7시에 출발하여 8시에

시험장 도착

시험시작은 8시 50분 이후 부터이나 도착하니 수험생 한분도 계셔서 차츰차츰

기다리니 수험생들 계속 들어옴.

수험표를 교부받고 40분부터 개인 물품 제출 및 DVD,문제지,증거물 USB 받고 50분부터 시작함.

문제는 결과 발표 하고 공개 및 리뷰 하겠습니다. 물론 문제 내용은 다 기억하고 있습니다.

그러나 똑같이는 리뷰를 못합니다. 협회에서 공개하면 불이익을 받는다고 경고를 ...

문제는 총 5문제. 개당 배점이 20점씩

60점 받아야 합격인데 총 3문제는 맞아야 합격이 됩니다.

1번문제 - 증거물 USB 사본이미지 생성과 무결성을 입증

2번문제 - 파일시스템 문제였습니다.

해당 사본이미지의 파일 시스템 종류,클러스터 크기,용량,섹터, USB 볼륨시리얼넘버.

파일시스템에 대한 기본적인 지식과 USB의 볼륨 시리얼 넘버를 확인하는 이러한 지식을 요합니다.

3번문제 - 해당 증거물에서 유출 된 것같은 정황을 찾아서 기술하시오.

증거물로 의심되는 파일,시작된 섹터위치, 파일의 시간(생성,수정,접근)

파일의 크기, USB가 연결되었던 흔적

4번문제 - 특정 확장자가 나오면서 그 확장자로 인해 증거물이 타 매체에 저장된 정황을 찾아라.

타매체에 저장되었던 정황증거, 볼륨번호, 시간, 파일크기, 그외 적인 증거로 판단할 수 있는 근거

5번문제 - 외부로 유출된 정황이 포착되어 증거를 찾고 기술

이 부분은 용의자가 증거를 외부로 유출한 상황이 포착된 것을 증명하고 기술해야하는 문제 입니다.

해당 문제는 USB 내의 Filezilla 를 통해 외부 유출 흔적이 있어 log 검색을 통해서 입증을 하였고 문제지에 해시값이 하나 나와있습니다. 이 해시값의 증거파일이 외부로 유출된 정황증거인데, 이 해시값을 가지는 증거파일이 외부로 유출된 상황을 기술하였습니다. 물론 증거물로 의심되는 파일과 같은 값이었고, 그것을 증명 하는 기술을 했지요.

대략 이런식으로 문제가 나왔고 전혀 예상 못한 파일시스템 문제가 나왔는데 다행이 NTFS 가 아니었습니다. 그리고 제가 포렌식 공부를 처음 접하면서 공부했던 파일시스템 문제라 기억을 하나하나 하면서 풀었더니 5문제 다 풀리더군요.

3-5번문제는 FTK 로 풀었습니다. 전 도저히 인케이스랑 안맞더군요. 인터페이스가 정말..몇번 안다뤄보고 가면 인케이스는 못만질듯 합니다. 대신 몇번 다루면 그만큼 쉬운게 인케이스이나 독학으론 접근을 못하죠. 동글 키 값이 700만원 이상이니.

그러나 FTK 는 Demo 버전으로 충분히 연습이 가능합니다. 이 툴도 가격이 좀 있으나

Demo 버전으로 총 5000개 까지 파일 검색이 가능합니다.문제는 약 4000개가 안되었던 것 같습니다.

그러므로 FTK 도 충분히 풀만하단걸 확인했습니다. 저도 처음 사용해보고 처음 접했는데, 문제 해결을 FTK 툴로 풀었으니까요.이것 저것 만져보니 확실히 이해가 되었습니다.짜릿했구요.

처음 문제지 받고 멘붕이 왔습니다. 일단 1번문제인 사본 이미지를 생성해야 하는데 USB 를 연결하고 FTK Imager 로 만드는데 이게 무슨 5분이 넘도록 퍼센트 게이지가 안올라가는겁니다.

그리고 파일시스템 정보는 NTFS 3개가나오기에.. 아.. 하나도 모르는데..하면서 너무 게이지가 안차서 확인해보니 하드디스크를 이미징하고 있더군요.

보니깐 USB 인식이 안되어 하드디스크를 이미징하고 있었음

그래서 USB 포트를 바꿔서 꽂으니 제대로 되며 다른 파일시스템이 나옵니다^^

물론 용량도 적었고, 바로 몇분만에 사본이미지와 해시값 생성했습니다.

그럼으로서 한번 해보잔 마음가짐으로 풀었지요. 물론 처음 실기시험이며 반반이었습니다.

한번해보자. 아니 뭐 다음에 또하면되지.

이런맘으로 하는데, 이게 한,두문제가 풀리니.. 한번 해보자로 바뀝니다.

그렇게 문제를 3시간만에 풀었습니다. 물론 2시간30분만에 모든증거찾았고 증명을 기술하는 정리도 하면서 그리고 최종정리, DVD 까지 굽는게 끝나니 12시 20분정도였지요. 제출하고 나왔습니다. 1시까지 인데.. 뭐 1시까지 확인할게 없더군요.

참, FTK 를 이용하면 논리적으로 쓰기방지 설정을 해줘야 합니다. 그건 필수적으로 하고나서 이미징 작업을 해야하구요. 실기 준비를 한달한다고 했는데 했던게....

포렌식 증거수집절차, 무결성 입증 절차, 증거 봉인,이송 과정 이런 절차만 한달내도록 외웠습니다.

그리고 저번회차 후기도 두번씩 읽었구요..4.5회차 후기.

이론적인것만 3주내내 외우기만 했는데, 실제문제는 무결성 입증 하나만 나와서.. 안심도 되고 허무도 하고, 실습을 리뷰만 읽고 풀었는데, 기억을 하나하나 하면서 하니까 다풀리긴 했습니다.

물론 합격날짜에 따라 리뷰를 따로 할 생각입니다.

이번 시험에 나온 문제 형식으로 복원을 할겁니다. 똑같이는 하면 안되구요.  최대한 비슷하게 해보려 합니다.

물론 협회에서 시험문제 유출하지말라는 경고도 했지만, 똑같이 않하면 될듯합니다.

아무튼 처음 치룬 소감은... 자신감 있게 잘본것 같고, 기대도 됩니다.

문제를 잘 풀었다고 생각하고 이번문제 관건은 아마도 파일시스템 부분일 듯 합니다.

파일시스템에서 섹터크기,클러스터크기 등등을 물었는데 물론 인케이스나 FTK 툴에서도 나오지요.

근데 그게 왜 그렇게 되는지를 기술하라는 출제자의 의도일 수도 있습니다.

뻔히 나오자나요 툴쓰면.. 근데 그게 왜 그렇게 나오는지를 물었을 듯합니다. 제생각에

전 그래서 WinHex 로 증거이미지를 열어서 BR 영역에서 섹터크기, 클러스터크기에 해당하는 영역을 스샷을 통해 이 부분에서 이렇게하면 섹터크기가 되고 클러스터 크기가 된다. 이런 식으로 기술을 했습니다. 이 부분이 바로 파일시스템 공부가 되어야 이해가 되는 부분이라 자신있게 기술을 했지요.

전체적으로 기분이 좋았습니다. 얼마나 집중을 했으면 문제 푸는데 3시간이 그렇게 빨리 지나갈까요.

아무튼 하나하나 증거가 나오고 그걸 증명하고, 재미도 있고 즐거운 시험이었습니다.

만약 떨어진대도 내년에 또 치룰 욕심도 있구요. 또 이쪽으로 빨리 일을 해보고 싶습니다.

상세한 리뷰는 합격 발표가 나고 나서 하겠습니다.