포렌식 전문가 2급 LAB-1 가상문제 - 문제 1번

1번 문제

증거물 USB의 사본이미지를 생성하고 무결성을 입증하라.

1번 문제의 핵심은 무결성을 입증하면서 사본이미징 작업을 해야한다. 무결성이란 증거물 USB의 변경이나 훼손이 없어야 한다. 즉, 증거물 USB 내에 파일 변경이나 훼손 없이 사본 이미징 작업을 완료해야하며, HASH 값을 생성하여 사본이미지와 증거물 USB가 동일한 내용이라는 것을 증명해야 한다. HASH 값이 틀리다면 무결성이 훼손된 것이므로 증거로 인정이 되지 않는다.

1번 문제는 무결성을 입증하고 사본이미징 작업을 해야 한다.

 

====================================================================

 

​먼저 사본 이미지 생성 작업을 하기전에 아주 중요한 설정을 해야한다.

바로 쓰기방지 설정.

무결성이란 것이 원본과 사본과 일치가 되어야 증거로 효력이 있는 만큼, 중간에 위,변조가 된다면 증거로 사용할 수 없다. 즉 HASH 값을 생성하여 원본과 사본과의 HASH 값이 일치한다면 그 증거물은 동일한 증거물로 인정이 되나, 중간에 비트 하나, 파일 하나만 바뀌어도 HASH 값은 완전하게 바뀌어 버리므로 쉽게 알 수 있다.

FTK 를 사용한다면 논리적인 쓰기방지 설정을 먼저 하고 사본 이미지 생성 작업을 진행한다.

Encase 소프트웨어의 경우 소프트웨어 쓰기 방지 기능을 제공하고, 또 하드웨어 쓰기방지장치도 존재하지만, 논리적인 쓰기방지 설정도 충분히 훌륭하므로 무조건 따라 하면 되겠다.

 ​

논리적인 쓰기방지 설정

​

 

실습환경 -> Windows 10 ( 7 , 8 경우 시작 -> 실행 )

웹 및 Windows 검색 -> regedit 실행 -> regedit 를 실행시킨다.

 

 

경로이동

HKEY_LOCALMACHINE\SYSTEM\CurrentControlSet\Control 해당 경로로  

이동해서 Control 우 클릭 -> 새로만들기 -> 키(K) 선택후

StorageDevicePolicies 를 새로 생성한다. 주의 할 점은 오타 있으면 적용이 안된다.

​

HKEY_LOCALMACHINE\SYSTEM\CurrentControlSet\Control\

StorageDevicePolicies     해당경로로 이동

우클릭 -> 새로만들기 -> DWORD(32비트) 값(D)

WriteProtect 생성 후 값 데이터는 1로 입력한다.

1-> 쓰기방지 / 0 -> 쓰기방지 해제

휴지통 링크 파일 생성 않되게 설정

 

 

 

휴지통 아이콘 -> 우클릭 -> 속성 ->

파일을 휴지통에 버리지 않고 삭제할 때 바로 제거 클릭

​

자동 실행 방지

 

제어판 -> 자동실행 -> 모든 미디어 및 장치에 자동 실행 사용 체크 해제

이미징 사본 작업을 진행하기전에 기본적으로 선택되어진 사항을 위와 같이 해제를 시켜주면 USB와 같은 외장 저장 매체가 PC에 연결되었을 때 자동으로 실행되거나 데이터가 변조되는 경우는 없을 것으로 판단됩니다. 사본 이미지 생성 작업을 진행하기 전에 먼저 위와 같이 설정을 꼭 하였다가 작업이 끝나면 다시 원래 셋팅된 상태로 복원하는게 논리적인 쓰기방지 설정에 대한 답이라 생각됩니다.

물론 다 이해하고 연습하고 암기하고 있어야 가능하겠지요.

자, 이제 위와 같이 논리적인 쓰기방지 설정을 진행하였다면 사본 이미징 작업을 합시다.

사본 이미징 작업 프로그램은 FTK Imager 3.1.0.1514

(버전은 상관없을 것 같아요. 기능을 알아가는게 중요함)

FTK Imager 를 실행하면 아래와 같이 인터페이스가 나옵니다.

 

 

다음은 증거물 USB 를 아주 조심히 잘 포트에 꽂습니다. 물론 쓰기방지가 설정되어 있어 아무런 작업이 안될 테지만 가급적 열어서 확인하는 것도 않하는걸 추천합니다. 그냥 꽂아만 둡니다.

레지스트리를 이용한 논리적인 쓰기방지를 설정하였어도 완벽하다고는 할 수 없기 때문에 사본 생성 전에 원본을 열어보는 행동을 삼가도록 합니다.

 

 

상단 메뉴에서 File - Add Evidence Item... 을 선택합니다.

 

증거물 아이템을 추가한다는 뜻입니다.

 

 

위와 같이 Select Source 를 선택하는 창이 나옵니다.

Physical Drive 를 선택합니다.

Physical Drive 는 메인보드에 연결되어 있는 물리장치

Logical Drive 는 파티션으로 나누어져 있는 장치

Image File 는 이미지로 생성되어 있는 파일

등을 뜻하며 현재 USB 의 사본 이미지 생성을 위하는 것이므로 메인보드에 연결되어 있는 물리장치를 선택하기에 Physical Drive 를 선택하고 다음 으로 넘어갑니다.

 

 

자. 그럼 증거물 USB 를 선택하고 아래 Finish 를 클릭합니다.

 

 

그럼 증거물 USB 가 FTK Imager 프로그램에 연결되어 정보를 나타내고 있습니다.

여기까지 진행 작업이 증거물 USB 를 FTK Imager 소프트웨어에 연결이 된 작업 입니다.

​

​사본 이미지 생성을 해봅시다.

 

 

상단 메뉴 - File -> Create Disk Image... 를 클릭합니다.

 

 

Physical Drive 를 선택하고 다음으로 넘어갑니다.

 

 

증거물  USB 를 선택하고 Finish 를 클릭합니다.

 

 

자, 그럼 Create Image 가 나타납니다. 여기서 Add... 를 클릭합니다.

 

 

Image Type 을 선택해야 한다. 대게 Raw 와 E01 을 많이 사용한다.

Raw 와 E01의 차이점은 압축률이다.

 

dd 는 용량 그대로를 이미징 작업 하지만 E01 은 약간의 압축률이 존재하기 때문에 이미징 작업을 하더라도 압축된 용량이 나타난다.

그리고 E01 은 Encase 소프트웨어 사 에서 개발된 확장자 이다.

물론 요즘으 프로그램에서 dd 와 E01 은 모두 지원하는 추세이다.

이번 실습은 dd 를 통해서 할 것이며, 자세한 이유는 2번 문제에서 그 이유가 밝혀질 것이다.

 

 

다음으로 넘어가면 Evidence Item Information 설정창이 나온다.

즉 증거물 정보를 입력해야 하는데 위와 같이 입력을 해준다.

대게 Case Number 은 날짜_번호, 날짜_기관명_번호 식으로 입력을 해주면 된다.

 

  ​

본인은 위와 같이 날짜,의미,번호 를 입력하였고 각각 해당하는 설정에 맞게 입력을 하였다.

실제 시험에서는 크게 중요하지 않으나 실무에서는 이 정보가 아주 중요하다고 한다. 시험에서는 세세하게 입력하지 않았으나 적어도 의미하는 바에 맞게 입력은 해야 할 것이다.

 

 

Browse 를 통해서 사본이미지가 저장될 경로를 지정한다.

그리고 저장될 사본이미지의 이름을 입력해준다.

다음 아래 Image Fragment Size 를 0 으로 주었는데 이것은 사본이미지의 용량을 분할 없이 저장을 한다는 뜻이다. 즉 100이라 입력하면 100MB로 분할을 해서 이미지가 수십개 생성이 될 것이고, 0 으로 입력하면 분할 없이 생성된 이미지 하나만 생성을 할 것이다.

그리고 아래 Compression 은 압축률을 설정해주는 부분인데 0 은 None 상태이므로 사용하지 않을 것이다. dd는 압축률을 사용하지 않으므로 해당사항이 없는 것이다.

이렇게 설정을 하고 하단에 Finish 를 클릭하면 아래의 화면이 나타난다.

 

 

Start 를 클릭하면 사본이미지 생성 작업이 진행된다.

 

 

사본이미지 생성 작업 중이다. 용량에 따라 시간은 천차만별이 소요된다.

 

 

사본이미지 생성이 완료되면 위와 같이 MD5 , SHA1 Hash 값을 출력해준다.

그럼 아무런 위,변조 , 데이터 훼손이 없었다면 출력된 HASH 값과 내게 준 USB 의 HASH 값과 일치될 것이다.

그게 바로 무결성을 증명하는 것이며 아마 주최측에서 모든 시험자들에게 먼저 생성된 HASH 값을 보관하고 있고 답을 제출하면서 제출된 답안지의 HASH 값과 비교하여 무결성을 입증하는게 아닌가 하는 생각이 든다.

즉, 내가 생성한 사본이미지의 HASH 값과 비교할 USB의 HASH 값이 존재해야 하는데, 그 값은 미리 주최측에서 생성하여 보관하고 있고 시험 당사자들이 사본이미지를 생성하면서 얻어낸 HASH 값과 비교를 하여 채점을 하는게 아닌가 라는 생각이 든다.

아무튼 이럼으로서 논리적인 쓰기방지 설정을 통해 무결성을 입증한 사본이미지 생성을 완료했다.

 

 

 저장된 경로를 확인해보면 사본이미지 파일과 사본이미지 파일의 정보를 나타내는

txt 파일이 저장되어 있다.

해당작업을 완료하면서 무결성을 입증한 사본이미지 작업을 완료한 것이다.

====================================================================

 

답안지를 작성할 때는 우선 컴퓨터에 파티션이 나누어져 있다.

D 파티션이 저장 파티션이라 하면 D 에 폴더를 1번~5번까지 5개 생성한다.

즉 1번은 1번 답안지... 부터 5번 답안지를 저장하고 또 증거 자료도 나올 것이므로 폴더로 구분해서 답안지를 저장하는게 깔끔하다.

그리고 나중에 한번에 DVD 를 구우면 된다.

시험 절차는 모든 답안지를 작성후 나누어준 DVD 에다가 드래그를 해서 옮기면 자동으로 구워준다. 받은 시험지, USB, 답안지 DVD 를 제출하고 퇴실하면 되는 것이다.

아무튼 1번 폴더를 생성해서 그 안에 Word 파일로 답안지를 작성한다.

한글보다는 Word 가 훨씬 편하다. 그리고 한글은 거의 안쓸듯 하다.

본인의 풀이처럼 내가 이렇게 이렇게 설정을 하고 이런 방식으로 작업을 진행한걸 쭉 나열 하는 식으로 답안지를 적으면 된다.

실제로 본인은 위와 같이 스샷을 찍어서 부가설명을 하면서 답안지를 작성 했다.

보여줄수 있는게 이것 뿐 아니겠는가? 이것저것 노가다이지만, 무언가를 절차를 통해서 했다. 라는걸 보여줌으로서 그리고 정확하게 이행했다는 점으로서 답안지를 제출 하는게 중요한 포인트인 것 같다.

아무리 프로그램을 잘 다뤄도 세세한 절차나 기본을 모르면 포렌식을 모르는 것 같다는 생각이 들듯이

하나를 하더라도 개념을 갖추고 정확하게 해 나가는 것이 출제자의 의도인 듯 하다.

물론 시험 수준은 본인은 정말 쉽게 풀었다. 처음 접한 시험이고 도전하였지만,

그리 어려운 시험은 아니라는 건 분명한 듯하다.

언젠가 보안기사 수준의 시험으로 바뀔 수 있다고 하는데, 그전에 얼른 취득을 하는게 좋을 듯 하다. 이 분야로 올인을 할 생각이 있다면.

아무튼 지금 풀이한 내용을 본인은 Word 에서 정리를 하여 답을 제출 하였다.

이렇게 1번 문제를 해결 한 것이다.