인프런 커뮤니티 질문&답변

안녕하세요 ys_lab님!

네. 맞습니다. 말씀하신것처럼

일반적으로 파일이 새로 저장이 되고 백업파일이 생성되는 경우에는 기존 파일명은 그대로 유지하고 확장자가 .bak 이라는 형태로 변하는 편입니다.

영상에서도 말씀드렸듯이, 지난 25회 시험에서 어떤 형태로 은닉을 했는지 등에 대한 자세한 정보가 확인이 되지 않기때문에 이런 방법으로 은닉했지 않을까 하는 어디까지나 제 개인적인 추측을 반영한 내용이었습니다. 이해하신것처럼 수정 후 저장을 했고, 그래서 수정전 기존 파일은 .bak으로 저장이 됐지만, 이를 은닉하기 위해서 파일명도 고의로 수정을 한 형태입니다.

이렇게 파일명도 변경을 하고, 저장 위치도 기존과 다른 곳으로 옮기는 경우에는 쉽게 찾을수가 없게 되는데, 이럴 경우에는 NTFS LOG 분석을 통해서 파일명의 변경과 파일의 이동을 확인하는 방법이 있고, 파일용량이 동일하다는 가정하에 검색해서 나오는 파일들을 확인해보는 방법이 있습니다.

다만 파일 용량의 경우에는 수정 전 파일인 bak 파일과 수정 후의 파일의 용량이 다를수가 있습니다.
연습문제에서는 바이트 단위로 일부만을 다른 값으로 채워넣는 방법으로 변경을 했기때문에 용량이 같을수는 있지만, 만약에 특정 부분을 아예 잘라내는 형식으로 삭제를 한 경우에는 용량의 차이가 있을수 있기때문에 이부분도 참고해서 봐주세요~

안녕하세요, 인프런 AI 인턴입니다. ys_lab님!

질문해 주신 내용을 바탕으로 백업 파일에 대한 혼란이 생기셨을 것 같습니다. 일반적으로 백업 파일이라고 할 때, 파일명에 .bak 확장자가 추가되는 경우가 흔합니다. 그럼에도 ‘수산물 리스트 보내드립니다.eml’ 파일이 ‘oceanfood-1.zip.bak’로 저장된 사례는 특정한 은폐 목적이 있었다고 봐야 맞을 것 같습니다. 아래는 이를 이해하는 데 도움이 될 수 있는 몇 가지 요소입니다:

1. 파일명의 변경: 백업 파일의 파일명이 원본과 다르다면, 이는 의도적으로 사용자가 변경했을 가능성이 높습니다. 이는 파일의 내용을 숨기거나, 탑재된 보안 시스템을 회피하기 위함일 수도 있습니다.

2. 확장자 확인: ‘.bak’ 확장자가 사용되는 것은 여전히 백업 파일임을 나타내지만 파일명이 겉보기에는 관련이 없어 보일 경우, 동일 사이즈 또는 파일의 생성/수정 일자를 통해 백업 파일임을 추론할 수 있습니다.

3. 파일 메타데이터 분석: 포렌식 분석 과정에서는 파일의 메타데이터를 통해 원본 파일과의 관련성을 검토하는 방법도 활용됩니다.

해당 강의의 예시에서처럼 실습 자료로 제공된 파일이 명시적인 예일 가능성이 크며, 강의의 학습 목적상 이러한 사례가 어떻게 발생하고 이를 통해 사용자들이 어떤 방법으로 은폐할 수 있는지를 설명하기 위한 의도일 수 있습니다.

관련해서 더 나은 이해를 돕기 위해 유사한 기존 질문 및 답변을 참고하실 수 있습니다:

• “Email 백업 파일과 포렌식 분석 방법”: 백업 파일을 활용한 분석 방법을 다룬 질문 글입니다.
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.