포렌식 전문가 2급 LAB-1 가상문제 - 문제 3번

3번 문제

해당 증거물인 USB에서 기밀자료의 정황을 찾아 기술하라.

기밀자료로 의심되는 파일, 시간, 섹터위치, 크기,

USB가 연결 되었던 흔적을 기술하라.

3번문제는 실제적으로 기밀자료의 정황을 찾아서 기술을 해야하는 문제다.

즉 용의자가 USB 를 통해 기밀자료를 저장하였고, 그 기밀자료가 실제 기밀자료라는 것을 증명 해야하는 문제로서, 본격적인 포렌식 수사관의 자질을 확인하는 문제이다.

 

=================================================================================

해당 문제는 Forensic Tool Kit Demo 버전을 사용한다. 왜냐하면 정품이 없으니까,

그리고 Encase 는 Dongle Key 가 없으면 증거분석, 수사 쪽은 사용이 불가능하다.

앞서 설명한대로 FTK 의 Demo 와 정품의 차이는 증거 파일의 개수를 몇개 까지 인식

하느냐인데, Demo 는 5000개 까지 인식을 하며, 이 인식하는 개수가 정품과의 차이다.

그로 인해 5000개 이하의 증거파일을 충분히 인식을 함으로, 문제 해결에 크나큰 단점은 없다. 충분히 이 FTK 만 다룰줄 알게 된다면 문제해결에 어려움이 없다.

자세한 Forensic Tool Kit 사용법은 따로 포스팅을 하겠다. 본 포스팅은 문제 해결에 관한 포스팅만 진행한다.

 

 

자 우선 Demo 버전의 FTK 에 증거물 사본이미지가 추가된 화면이다.

 

 

여기서 우선적으로 살펴봐야 할 부분이 바로 Bad Extension 부분이다.

현재 1 의 값을 나타내준다. 이 부분이 무엇이냐면.

Bad Extension 영역에 값이 나타난다면 파일의 확장자와 파일 시그니처가 맞지 않을 때 값을 표현한다. 즉 1개의 파일이 확장자와 시그니처가 맞지 않는다는 걸 분석해주고 있다.

즉 용의자가 기밀자료의 확장자를 변경하였다고 판단할 수 있게 나타내주는 화면이다.

파일 시그니처(File Signatures)란?

파일은 파일 자체로는 의미가 없다. 파일이 담고 있는 데이터를 유용하게 사용하기 위해서는 관련된 소프트웨어가 필요하다. 이러한 소프트웨어들은 각각 자신만의 고유한 파일 포맷을 만들어 사용한다. 따라서 어떤 파일을 읽을 수 있다면 해당 파일 포맷을 해석할 수 있다는 의미이다.

그림 파일(JPEG, PNG, TIFF, GIF 등) 또한 파일 포맷 별로 고유한 포맷을 가지고 있다.

알씨와 같은 그래픽 뷰어 소프트웨어를 통해 해당 파일을 볼 수 있는 이유는 알씨 소프트웨어에서 각 그림 파일 포맷을 해석할 수 있도록 프로그래밍 되어 있기 때문이다.

이처럼 파일들은 각각 고유한 포맷을 가지고 있는데 포맷의 기본이 되는 내용이 파일 시그니처이다. 파일 시그니처는 파일의 가장 처음에 위치하는 특정 바이트들도 파일 포맷을 구분하기 위해 사용된다.

예로, JPEG 파일은 "FF D8 FF E0" 의 시그니처를 갖는다. JPEG의 경우 디지털 카메라로 캡쳐한 파일과 구분하기 위해 "FF D8 FF E1" 시그니처도 사용된다.

 

 

Bad Extension 부분을 클릭하면 아래와 같이 무언가 하나가 나타난다.

자, 잘 분석해보면 File Type 는 Zip 인데, Ext 는 jpg 라고 나와있다. 무언가 꼬롬하다. 이걸 어찌 해석하냐면, IMAGE_001.jpg 의 파일은 zip 파일 인데, 확장자가 jpg 란 뜻이며, 그러므로 확장자와 시그니처가 불일치 하기 때문에 프로그램에서 검출을 한 것이다. 즉, 저 파일은 현재 변조된 파일이란 뜻이다. 그리고 수상한 파일이기도 하다.

 

 

저 파일을 선택해보면 상단에 image_00700.jpg , image_00734.jpg 두 개의 파일이 나타나는걸 확인할 수 있다.

자, 뭔가 이상하지 않은가? 분명 파일을 하나 클릭하였는데, 또 무언가 나타난걸 확인할 수 있다. 즉 수상하고, 의심되는 파일이다. 이 파일을 한번 확인해보자.

 

 

의심되는 파일을 클릭하고 오른쪽 버튼 -> Export File... 을 선택한다.

 

 

Destination Path 에다가 저장될 경로를 지정해주고 OK 를 클릭한다.

 

 

그럼 위와 같이 지정한 경로에 exporting 된것을 확인하고, 해당 경로를 열어 본다.

 

​자, 해당경로에 jpg 파일이 하나 나타났다. 이걸 실행해보니 위와 같이 오류메시지가 나타나면서 그림을 안보여준다... 자~~~ 이게 무얼 뜻하냐면

아까 Bad Extension 에서 검출 되었 듯이 파일의 확장자와 시그니처가 불일치 한 파일인걸 확인하였을 텐데, File Type 가 zip 이란 걸 확인했을 것이다. 즉, 이 파일은 zip 파일이므로 그래서 현재 실행이 안된다. 그래서 확장자를 jpg -> zip 로 변경을 해주고 실행하면

 

 

짜잔~ 위와 같이 압축파일을 실행하니 또 내부에 jpg 파일 2개가 들어 있는걸 확인할 수 있다. 이 압축파일을 해제해서 어떤 jpg 인지 확인해보자.

 

 

짜잔, 위와 같이 증거 파일 2개가 나타났다 이로 인해 IMAGE_001.jpg 파일은 압축파일로서 확장자가 변경된 기밀자료로 판단할 수 있다.

이렇게 해당 기밀 자료를 찾을 수 있다.

이제 찾게된 증거 파일을 생성한 3번 폴더에다가 답안지와 함께 첨부를 해야 한다.

 

이렇게 Bad Extension 의 결과를 통해 파일의 확장자와 시그니처가 불일치한 걸 조사하여 의심되는 파일을 분석할 수 있고, 또 분석하여 증거 파일을 찾을 수 있다.

Bad Extension 의 결과 값이 아주 중요한 것을 확인 하였고, 실기 문제 특성 상 Bad Extension 의 파일을 분석하면 증거 파일을 찾을 수 있다.

그 다음 문제인 파일의 시간, 섹터위치, 크기를 조사하는 건 아주 쉽다.

 

 

 

기밀자료로 의심되는 IMAGE_001.jpg 파일을 선택한 상태에서 하단에 스크롤을 오른쪽으로 이동하면 위와 같이

Cr Date / Mod Data / Acc Date 정보가 나온다.

Cr Date = Create Date 란 의미로 파일의 생성된 시간을 나타낸다.

Mod Date = Modifi Date 란 의미로 파일이 수정된 시간을 나타낸다. 

Acc Date = Access Date 란 의미로 파일에 접근한 시간을 나타낸다.

​

즉

생성시간 : 2015-12-17 PM 3:14:12

수정시간 : 2015-12-17 PM 3:14:14

접근시간 : 2015-12-17 PM 3:14:12

위 정보가 해당 기밀자료로 의심되는 증거물 파일의 생성시간과 수정, 접근시간의 정보가 된다.

그러므로 문제에서의 파일 시간에 해당하는 답이 되는 것이다.

 

 

이 스크롤을 오른쪽으로 이동하다보면 아주 다양한 정보를 확인할 수 있다.

그리고 해당 기밀자료로 의심되는 파일의 Sector 의 위치도 확인할 수 있다. 오른쪽으로 넘어가다 보면 Sector 에 값이 나오는데, 이 값이 해당 파일의 Sector 위치값이 된다.

현재 문제에서 Sector 위치 값은 43,528 Sector 을 나타내고 있다.

즉, 섹터의 위치는 43,528 Sector 로서 문제의 답을 해결한 셈이다.

 

 

다음 파일의 크기를 확인하는 문제이다. 역시나 스크롤을 이동하다보면 L-Size 와 P-Size 에 값을 확인할 수 있다. 여기서 L-Size 가 바로 해당 파일의 크기, P-Size 가 디스크에 할당된 크기가 된다.

디스크에 할당된 크기가 무어냐면, 클러스터의 개념에 대한 이해가 필요하다. 즉 현재 32,768 byte가 디스크에 할당된 크기다. 앞서 클러스터 크기를 4k = 4,096 byte 로 확인을 하였는데, 4,096 * 8 을 하면 32,768 byte가 된다.자 그럼 이해를 잘 해보자. 해당 파티션의 클러스터 크기가 4k 인데, 파일의 크기가 30,303 byte 이다. 그럼 이 30,303 byte 를 저장하려면 얼마의 용량이 할당되어야 하겠는가?

바로 32,768 byte 가 할당이 되어야 30,303 byte 용량을 할당된 용량 내에 저장이 되는 것이다.

그럼 32,768 - 30,303 = 2,465 byte 공간은 어찌 되는가? 그냥 버려지는 공간. 즉 Slack 공간이 된다.

빈공간이란 뜻으로 악의적으로 이용을 할 때 이 슬랙 공간에다가 데이터를 저장 해두는데, 이걸 분석하는게 여간 쉽지는 않다.

아무튼 할당된 공간과 파일의 크기를 확인 하였고, 클러스터의 개념에 대해서도 약간 알아 보았다.

그리고 꼭 클러스터크기가 4,096 byte 로 할당하는게 아니라 다양하게 512 byte 부터 16KB 까지 설정이 가능하다.

이렇게 할당된 디스크 크기 32,768 byte 와 해당 파일의 크기 30,303 byte 를 확인하여 답을 해결 하였다.

USB가 연결 되었던 흔적을 찾는 문제다. 이 문제는 regedit 을 실행하여 접근해서 기술을 해야 한다.

툴에서도 기능을 제공 하겠지만, 독학이란게 이런식으로 기술하는 방법이 최고 인거 같다. 물론 시험 당사자가 프로그램을 쓰든 이렇게 regedit 을 검색하든 답을 기술 하는건 마음이나, 본인은 이런 방법으로 문제를 해결 하였다.

 

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\ 경로로 이동하여

{Device Class ID} 정보를 통해 증거물 USB 의 정보를 확인한다.

 

본인이 실습한 USB 는 L* USB Device 정보를 나타내고 있다. 일단

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\ 경로는 지금까지

​연결 되었던 USB 사용 흔직 및 제조사를 확인할 수 있는 경로가 된다.

 

​자, 이렇게 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\ 경로에서 증거물 USB 가 연결 되었던 흔적을 확인하였다.

​

그리고 이 증거물 USB 가 어떤 드라이브에 연결 되 었는지도 기술을 해야 한다.

​

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Potable DevicesDevices\ 경로로 이동을 한다. 이 경로 내에 있는 정보는 하위키 중 제품명 또는 시리얼 넘버를 포함하는 키를 검색할 수 있고, 해당 USB가 사용된 드라이브 문자를 확인할 수 있다.

 

 

그래서 위에서 확인한 연결되었던 USB 정보 L* USB 에 대한 정보를

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Potable DevicesDevices\

경로에서 확인해 보니 PC 에 연결되었던 흔적을 확인할 수 있다.

PC 에는 USB DISK 드라이브 명으로 연결이 되었던 걸 확인 하였다.

이번 문제의 답은 이렇게 경로에 있는 정보에 대한 내용을 기술 하고, 스샷을 첨부하여 어떻게 접근하여 어떻게 답이 되는지를 기술하는 문제이다.

​

 

본인은 답안 작성시 스샷을 첨부하면서 밑에 부가설명을 하여 답을 기술 하였다.

=================================================================================

 

​

이렇게 3번 문제에 대해 답을 기술해 보았다. 프로그램을 사용하면 아주 간단하게 답을 찾을 수 있을 거라 판단되지만, 프로그램을 접하지 못한다면 그 기능을 사용 못하리라 생각한다.

본인이 작성한 답안처럼 하나하나 증거를 기술하면서 해결한다면 시간은 걸리더라도 출제자의 의도와 맞게 답이 될거라 생각한다. 그리고 거의 프로그램에서 다 답을 출력해주지만, 왜 그렇게 출력되는지 부가 설명을 한다면 답이 아닐 수 없는 훌륭한 답이 될 것이라고도 판단된다.

실기 시험을 준비할 때 프로그램을 잘 다룬다고 생각하지만, 실제적으로 기술을 하라는 건 왜 그런 답이 나오는지 기술을 해야하는 의미 인듯 생각된다. 그래서 레지스트리를 사용한 논리적인 방법이나 파일시스템 이해에 대한 공부가 되어 있다면, 아주 쉽고 무난하게 문제 해결에 어려움이 없을 것이라 판단되며, 본인도 지금까지 문제 해결에 대한 부분만 달달 외웠을 뿐, 그리고 공부했던 파일시스템에 대한 내용이 나왔을 뿐, 다른게 나왔다면 어찌 될지 모른다.

그러나, 2급 실기에 대한 수준은 여기서 왔다 갔다 할 듯 하다. 이것보다 심화 된다면

 

2급 수준을 넘어설 것으로 판단한다.