포렌식 전문가 2급 LAB-1 가상문제 - 문제 2번

2번 문제

해당 사본이미지의 파일시스템 종류, 용량, 섹터,

클러스터, USB 볼륨시리얼 넘버 등을 기술하라

2번문제의 핵심은 이미징 작업을 완료한 사본이미지의 파일시스템 종류, 용량,

섹터와 클러스터의 크기, USB 볼륨시리얼 넘버등을 기술해야 한다.

우선적으로 할 말은 FTK, Encase 를 사용하면 해당 사본이미지의 기술 조건에

해당하는 답이 잘 나와 있다. 그런데, 본인이 생각했을 때 출제자라면 어떤 의도로

이 문제를 출제했을까? 라는 생각이 갑자기 들었다. 즉, 툴에 의존하는 답을 요구한

게 아닌, 파일시스템에 대한 이해도를 요구하는거라고 생각이 든 것이다.

그래서 사본이미지를 dd 로 작업을 하였는데 dd 로 작업을 해야지만 WinHex 프로그램에서 정확하게 16진수 코드를 나타내준다. 만약 E01 로 작업을 했다면 압축에 의해

위치나 다른 정보들이 달라졌을 것이다. 이 문제를 보고선 본인은 dd 로 작업을 한건

2번 문제를 위한 것이고, 그리고 WinHex 프로그램을 이용하여 답에 맞는 정보를 찾아서

답안지에 기술 하였다.

2번 문제를 해결하기 위해서 FAT 파일시스템 공부를 했던것이 너무나 큰 도움이 되었다. 혹시나 시험을 준비하는 분이시면 심도있게는 아니더라도 FAT, NTFS 의 MBR/BR 영역에 대해서 공부해가시는걸 강력추천 드린다.

이 부분을 공부하면 언젠가 큰 도움이 되리라 믿는다.

 

=================================================

Filesystem 적으로 접근을 하여 2번 문제의 답을 알아 보겠다.

우선 내가 풀이한 방법은 FAT Filesystem 선행학습이 되어 있어야 가능하다고 생각한다. 그리고 앞서 말했듯이 Encase , WinHex, FTK 에서 문제와 같은 정보를 출력해준다. 그런데 출제자의 의도로 생각해보니 뻔히 보여주는 답을 써내는게 맞는걸까?

아님 어떻게 해서 저 답이 나오는걸 기술하라는 걸까? 라고 고민을 하던차 본인은

WinHex 를 통해 Filysystem 적인 접근을 통하여 답을 기술한 것이다. 이게 맞든 틀리든 어쨋든 확실한건 프로그램 상에서 문제에 해당하는 답은 보여주지만, 곧이 곧대로 그 답을 적을 것인가? 아님 원리를 설명하면서 기술할 것인가? 는 답안 작성자 스스로의 판단일 것이고, 본인은 원리를 설명하면서 기술을 하였다.

시험장의 컴퓨터에는 모든 정품 소프트웨어가 설치되어 있으나 우리들(실습자)들은 없을 확률이 99.9999% 일듯 하다. 그래서 스샷을 보더라도 정품과 다른 화면이겠지만,

설명을 추가함으로서 이해가 되리라 믿는다.

 

 

WinHex 를 실행한다. WinHex 의 경우 Demo 를 다운받아서 Crack 하여 사용할 수 있다. 현재는 Crack 된 화면이며, Demo 와 Crack 버전의 차이는 Demo 에서 광고창 형식의 버튼이 계속 활성화 되는걸로 알고 있고, 그 외적인 기능적 차이는 없다.

 

 

메뉴 -> File -> Open 을 클릭한다.

 

 

자, 이제 오픈할 파일 형식에서 Raw Image/Container (.001, .dd, .img, .ctr) 을

선택하고 사본이미지를 지정하여 열기를 해준다.

이렇게 지정을 해주고 dd 파일을 열어야지 정확한 위치의 이미지 파일을 열게되는 것이다. 지정을 안하고 열게되면 위치값이 꼬이게 되어 문제 해결을 할 수가 없게 된다.

 

 

OPEN 을 하게되면 본인과 같은 화면이 나오지 않을 것이다. 처음 WinHex 를 사용한다면. 약간의 셋팅을 해주어야 본인과 같은 화면이 나올 것이다.

그 설정은 Forensic Tools 쪽에 따로 포스팅을 하겠다. 물론 시험장에선 본 화면이

나타날 수도, 아닐 수도 있다. 본인이 편하게 분석을 하기위해서 설정을 하면 된다.

 

 

자, 해당 영역이 MBR 영역 즉 Master Boot Record 영역이다.

파티션의 정보를 담고있는 영역이며 0 - 512 Sector 영역에 해당된다.먼저 이 영역을 분석하여 파티션 정보를 해석해야 한다.

 

 

현재 블럭된 영역이 파티션 정보를 담고있는 부분이다. 자, 이제 여기서 분석을 해야하는데 FAT Filesystem 선행학습이 되지 않았다면 분석이 되지 않을 것이다. 간략하게

설명을 하고 분석을 하면 금방 답을 기술할 수 있다.

우선 블럭이 80 01 01 00 ~ 00 00 55 AA 로 끝나고 있다. 여기서 55 AA 란 끝이라는

시그니쳐이며 55 앞에 00 까지가 영역의 끝이라는 의미이다. 그러므로 80 ~ 00 까지

64byte 영역이 파티션 정보를 나타내주는 영역이다. 그리고 각 16byte 씩 나누면 4개의 영역이 나오며 파티션당 16Byte 정보를 가지고 있다.

그러므로 80 부터 16byte, 00 부터 16byte, 00 부터 16byte, 00 부터 16byte 이렇게 4개의 파티션이 할당되어있는 상태다. 현재 증거물 USB 는.

그럼 일단 80 ~ 00 까지는 어떤 16진수 값이 들어 있는데 다음 00 ~ 00 은 죄다 0 이다.

끝까지 0 으로 채워져있다. 이것은 무얼 의미하는가?

파티션이 하나가 설정되어 있다는 의미가 된다.

 

 

지금 표시한 영역이 바로 파티션이 할당되어졌나 안되어졌나를 판단하는 근거이며,

현재 증거물 USB 는 파티션이 하나가 설정되어졌으므로 80 코드가 설정되어 있다.

이 80 코드의 의미는 다음과 같다.

 

 

즉, 해당 파티션은 부팅이 가능한 파티션이란 뜻이다.

 

 

분석해야 할 파티션 정보의 영역은 위와 같다.

이 중에서 중요한 부분만 설명하겠고 더 심도있는 설명은 FAT Filesystem 포스팅을 참고하시길.

 

 

아주 중요한 0B , 38 00 00 00 , C8 BF 3B 00 이렇게 값을 분석하면 된다.

우선 0B 는 파티션의 타입을 나타내는 고유 값으로 FAT32 Partition 을 나타내는 값이고

38 00 00 00 은 Starting LBA Address 영역으로 파티션의 시작번지 (LBA) 정보를 나타낸다.

다음 C8 BF 3B 00 은 Size in Sector 를 나타내는 영역으로 파티션에서 사용되는 총

Sector 수의 값을 나타내는 영역이다. 즉 총 용량의 값을 계산할 수 있다.

이제 이 값을 어떻게 해석하느냐?​

 

 

아주 간단하게도 Data Interpreter 기능을 이용하면 된다. 그럼 위와 같이 38 00 00 00 은 56을 나타내는데, 즉 56 Sector 가 현재 할당된 파티션의 시작 주소가 된다.

 

  

다음 C8  BF 3B 00 영역은 다음과 같이 3915720 의 데이터를 나타내준다.

이 영역은 총 섹터수 = 용량을 계산할 수 있다 했는데, 상세한 설명은 FAT Filesystem 포스팅을 참고하고 계산만 간단히 하겠다.

​

3915720 * 512 (섹터크기) = 2,004,848,640 byte가 나온다. 여기에 클러스터 값을  빼주어야 한다.

클러스터 값은 4,096 이며 2,004,848,640 가 byte 이므로 클러스터도 byte 로 환산해주어 빼주면 2,004,848,640 byte - ( 4,096 * 1,024 ) = 2,004,848,640 - 4,194,304

= 2,000,654,336 byte 가 된다.

다시 2,000,654,336 / 1,024 = / 1,024 = / 1,024 총 3번을 나누어주면 GB 가 나온다.

즉 이렇게 계산함으로서 총 해당 사본이미지의 총 용량을 알아 낼 수 있다.

2,000,654,336 byte 를 계산 하였고, 실제 증거물 USB 로 비교해보면

 

 

위와 같이 파일시스템 종류와 총 용량을 확인할 수 있다.

그런데 본인은 실제 Hexcode 를 분석하여 이런 값이 나온다고 기술을 하였고,

출제자의 의도를 생각해보니 쉽게 답을 확인할 수는 있지만, 원리를 묻는 문제인 거

같아서 위와 같이 접근을 하여 답을 기술 하였다.

이제 파일 시스템 종류와 디스크의 총 용량을 계산 하였다. 남아 있는

Sector 와 클러스터 크기, USB 볼륨 시리얼 넘버를 기술해보자.

38 00 00 00 은 Starting LBA Address 영역으로 파티션의 시작번지 (LBA) 정보를 나타낸다고 하였다.

파티션 시작번지수는 56 Sector 이라는 것도 위에서 확인을 하였다.

그럼 이제 56 Sector 로 이동하여 나머지 분석을 하겠다.

WinHex 의 기본 동작법은 Tools 에서 확인하시고, 본 문제를 해결하는 위주로 넘어

가겠다.

 

 

자, 현재 56 Sector 로 이동하여 파티션의 정보를 보고 있다. 여기서 간략하게 분석해야 할 영역만 분석을 하겠다. 문제에 나와있는 부분만.

현재 시작위치가 28672 를 나타내고 있다. 이 주소값은 56(Sector) * 512(Sector)크기 를 계산 해주면 위치값 28672 가 나오게 된다.

현재 56 Sector 위치는 할당된 FAT32 파티션의 정보를 나타내주는 512 byte 의 영역이다.

 

 

분석할 부분은 11~12 번째인 00 02 코드와 13번째인 08 코드를 분석해주면 된다.

EB 코드부터 순서가 0 번째 이다. 즉 순서는 0 ~ 15 번째이며 값은 16byte 가 된다.

11~12 영역은 Bytes Per Sector 을 나타내주고, 13 영역은 Sector Per Cluster 을

나타내준다. 즉 Sector 크기와 클러스터 크기를 계산할 수 있다.

 

 

Bytes Per Sector 값은 512 를 나타내고 있다. 즉 Sector 크기는 512 Byte 라는 뜻이다.

 

 

Sector Per Cluster 값은 8 을 나타내고 있다.

즉 클러스터 크기는 Sector * Sector Per Cluster = 4,096 = 4k가 된다.

클러스터의 개념은 포렌식 개념에서 학습하고, 지금의 의미는 어떤 뜻이냐면

섹터의 크기가 512 byte 인데 거기다가 Sector Per Cluster 값 8 을 곱하면 4,096 byte 값이 나온다. 그럼 4,096 / 1,024 = 4k 가 되는데 이 4k 가 해당 파티션의 클러스터 크기가 되는 것이다.

물론 파일시스템 마다 클러스터나 섹터 크기를 조절 할 수 있으며, 문제의 파일시스템에서는 위와 같은 값이 나왔다.

즉 현재까지 파일시스템 종류, 용량, Sector, Cluster 크기를 확인하였다.

이제 남은 USB 볼륨 시리얼 넘버를 조사해보자.

 

   

regedit 을 실행하여

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\ 경로로

이동한다.

 

해당 증거물 USB의 정보를 찾아서 클릭한다. 그럼 하위 키로 Unizue Instance ID 형식의 시리얼 번호가 나타난다. 해당 증거물 USB 의 시리얼 넘버는

 

AA04012700009723&0 으로 나타난다. 이 실습은 자신의 USB 를 꽂아서 연습하는걸 추천하며, USB 의 시리얼 넘버는 이와 같이 분석을 하면 된다.

 

==============================================================================

​ 

위 방법은 실제 Hexcode 를 분석하여 답을 기술 하였다. 물론 프로그램을 사용하면

바로 답을 출력해준다. 그러나 계속 설명하였듯이 본인은 출제자의 의도를 생각하여서

이렇게 답을 작성하였고, 이 문제 하나로 합격의 당락이 결정된다면, 과연 프로그램에서 출력해주는 답을 곧이 곧대로 쓸 수 있었겠나? 싶다. 뻔히 보여지는 답을 원하는게 아니라 파일시스템에 대한 개념을 이해하느냐? 는 문제인 듯 하다.

실제 위 문제는 완전 초보적인 개념을 묻는 문제로 느껴진다. 심화되면 Hexcode 로 파일을 생성하고 삭제하는 과정을 문제 내겠지 않나 싶다. 하지만 그 부분도 어느정도 공부하면 충분히 가능한 부분이며 실제 본인은 FAT 를 충분히 공부했다 생각하고 이제 NTFS 파일시스템을 건들고 있는데 이건 많이 어렵다.

아무튼 해당 문제에 관해 조금더 생각해보고 준비를 해보는게 어떤가 하는 생각도 들었고 FAT Filesystem 의 포스팅을 잘 이해하고 활용한다면 이런 문제가 나와도 거뜬히 해결할 것으로 판단된다.

즉, 2급에서는 더 심화된 문제보다는 이렇게 분석을 하거나 BR 영역을 망가뜨려 복구하는 정도의 수준만 출제 될 것으로 판단된다. 그 이상 나온다면 그건 2급이 아니니깐.​