섹션 8. 디지털포렌식툴 - autopsy 사용법 듣고 있습니다

안녕하세요 limitpig님![섹션8. 디지털 포렌식툴 사용법] - [Autopsy]Autopsy2 강의를 보고 말씀해주시는게 맞을까요?[Autopsy]Autopsy1 , [Autopsy]Autopsy2 강의영상에서 실습자료로 사용한 파일은[Autopsy]Autopsy1에 함께 올려드린 forensictool.e01 파일이 맞습니다. 혹시 보셨던 화면이 해당 영상의 0:2:48경에 나오는 화면의 pt 자료상의 'encase_partition_break'를 말씀하시는걸까요?해당 PT에서 사용한 스크린샷은 어디까지나 pt상에서 설명을 위해서 가져온 다른 이미지 분석과정중캡쳐한 화면으로 해당 강의에서 실습하는 내용은 올려드린 파일을 이용해서 실습을 해주시고말씀하신 그 화면은 어디까지나 참고로만 봐주시면 될것 같습니다 !

이미징 방법(기초)

안녕하세요 bug5003님!1. 제공되는 전자정보 형태- 시험장에서 제공하는 사건의 증거는 2가지로 나눠볼수 있습니다.1) 증거 USB 원본을 제공하는 경우- 시나리오상 수사관이 사건 현장에서 USB를 발견했고, 그렇게 수집한 USB를 제공하는경우로 가정예) A경찰청 사이버범죄수사대 소속 B 경위는 현장의 책상 서랍에서 USB 1개를 발견해서 수집했다- 이 경우 제공된 USB는 증거 원본이므로 사본을 만들어서 분석을 진행해야하는데쓰기방지가 설정된 상태에서 USB를 연결하고 이미징을 진행해서 사본 이미지를 생성해야합니다.- 과거에는 시나리오상 이렇게 원본을 발견하고 그 USB를 수험자에게 제공하는 형태로시험이 진행됐었으나, 최근에는 이렇게 원본이 아닌 사본을 제공하는 형태로 바꼈습니다.2) 사본을 제공하는 경우- 시나리오상 수사관이 사건 현장에서 PC,노트북,USB등을 발견하고 해당 부분에 대해서 이미징의방식으로 수집을 했는데, 그렇게 생성한 이미지 파일은 사본이고, 그 사본 파일이 담긴 USB를제공하는 경우.예) A 경찰청 사이버범죄수사대 B경위는 현장에서 노트북을 발견하고 (중략) 이미징하여 수사관의USB에 저장하였다. >> 원본이 아닌 사본 이미지 파일!- 이렇게 사본이미지 파일이 저장된 USB를 수험자에게 제공하며, 이는 사본이기때문에별도의 쓰기방지나 추가 이미징 작업이 필요없기때문에 USB를 연결후 해당 이미지 파일을 복사해서 분석용 노트북에 저장!- 최근에는 위와 같은 방법으로 증거 파일을 제공하고 있습니다. 다시 말해서 쓰기방지 및 이미징 과정이 생략이 되겠죠!- 이러한 증거파일의 제공 방법은 언제든지 변경이 될 수 있으므로 반드시 시나리오를 꼼꼼히 읽으셔서 증거원본 USB를 제공하는지, 아니면 이미징한 사본을 제공하는지를 파악하셔서 그에 맞게 진행을 해주세요~2. 증거 USB 원본이 제공된 경우 진행과정-시나리오상 증거 USB 원본을 제공한것으로 된 경우에는 아래 절차를 꼭 지켜주세요1) 쓰기방지 설정 : Encase Fastbloc SE 또는 레지스트리 설정으로 쓰기방지 설정2) USB 연결3) FTK Imager 등의 이미징 프로그램으로 이미징- FTK Imager의 경우 이미징 하기 > Physical > 해당 USB 선택 > 이미징 > hash 값 확인- 최초 이미징한 파일은 우선 보관을 해주세요 > 문제나 시험관련 지시사항에 이미징한 파일을 제출하라고 한 경우 : 최초 이미징한 e01파일을 제출> 이미지 파일 제출에 대한 별도의 언급이 없다면 제출 안하셔도 됩니다.(답안제출용 USB의 용량이 이미지 파일을 담기에는 작거나, 빠듯할수 있습니다~)> 만약 파티션 복구 등이 필요한 경우 최초 이미징한 파일을 복사해서 이미징 파일의 사본으로파티션 복구 및 분석을 진행 해주세요. 3. 파티션 복구1) 이미징한 파일을 FTK Imager등으로 불러와서 확인- 말씀하신것처럼 FTK Imager등으로 불러와서 확인했을때 볼륨에 정상 접근이 되는지 확인하고만약 Unrecognized 등으로 표시가 된다면 파티션 복구가 필요합니다.2) DD파일로 재이미징- 최초 이미징시 E01으로 이미징 하셨다면, 파티션 복구시에는 반드시 DD(raw)파일이 필요하므로다시 이미징을 해줘야합니다.- DD 이미징시에 두가지 방법이 있는데① 원본 USB를 연결해서 DD로 이미징- 처음 이미징할때와 동일하게 쓰기방지설정 > FTK Imager > physical > 이미징포맷을 DD로② E01 이미지 파일이 있는 경우 - FTK Imager > Image file(Physical이 아닌 이미지 파일을 원본 소스로 선택) > 이미징 포맷을 DD로※ 질문에 말씀하신 로지컬-DD파일 의 순서가 아닙니다! E01을 원본 소스로 재이미징하실때는 로지컬이 아닌 Image File을 선택해주세요 !3) Hxd로 파티션 복구- 재이미징하여 저장된 dd 파일을 hxd로 불러와서 복구진행! 4. 기타 질문에 대한 답변1) e01 파일을 첨부터 주는경우는 따로 별도로 위에 처럼 피지컬로 새로 이미징 할 필요없이바로 FTK Imager 열어서 확인하면 되는건가요? 시작할때 쓰기방지 작업은 필요없는지?> 네 맞습니다! 시나리오상 사본 이미지 파일을 제공하는 경우라면,제공된 USB에서 이미지 파일을 분석용 노트북에 복사해서 가져오시면 되며,쓰기방지, 이미징의 작업이 생략된다고 생각해주세요.5. 정리1) 시나리오 확인 - 시나리오상 증거 USB 원본을 주는지, 아니면 사본 이미지 파일을 주는지 확인2) 증거 USB 원본을 제공하는 경우① 쓰기방지설정② USB 연결③ 이미징- FTK Imager 실행 > 이미지 생성(Create Image) > 원본소스선택(Physical)>이미지 포맷선택(E01) > 이미징 진행 > 해시값 확인④ 생성한 이미지의 확인(파티션 복구여부)- FTK Imager로 방금 생성한 이미지 파일 불러온 뒤, 모든 볼륨이 정상적으로 접근이 가능한지 확인- Unrecognized 등 접근 불가한 볼륨이 있는 경우 파티션 복구 필요⑤ 파티션 복구를 위한 재이미징(파티션 복구가 필요없는 경우 생략)- FTK Imager 실행 > 이미지 생성 > 원본소스선택(Image file / 이미 생성한 e01을 원본으로 ~)>이미지 포맷선택(DD) > 이미징 진행 > 해시값 확인 X※ 우리에게 중요한 hash값은 최초 이미징한 e01파일의 해시값입니다! 재이미징한 파일의 해시값은신경안쓰셔도 됩니다!⑥ 생성한 dd 이미지파일을 hxd로 불러와서 파티션 복구 진행⑦ 복구가 정상적으로 완료됐는지 FTK Imager에서 확인⑧ 파티션이 복구됐다면 이미지 파일을 autopsy등으로 분석 시작 3) 사본 이미지파일을 제공하는 경우- 증거원본을 제공하는 경우의 ①~③ 생략 / 이후 단계 동일.④ 제공된 USB 연결 > 이미지 파일 복사해서 분석용 노트북에 붙여넣기⑤ 생성한 이미지의 확인(파티션 복구여부)- FTK Imager로 방금 생성한 이미지 파일 불러온 뒤, 모든 볼륨이 정상적으로 접근이 가능한지 확인- Unrecognized 등 접근 불가한 볼륨이 있는 경우 파티션 복구 필요⑥ 파티션 복구를 위한 재이미징(파티션 복구가 필요없는 경우 생략)- FTK Imager 실행 > 이미지 생성 > 원본소스선택(Image file / 이미 생성한 e01을 원본으로 ~)>이미지 포맷선택(DD) > 이미징 진행 > 해시값 확인 X※ 우리에게 중요한 hash값은 최초 이미징한 e01파일의 해시값입니다! 재이미징한 파일의 해시값은신경안쓰셔도 됩니다!⑦ 생성한 dd 이미지파일을 hxd로 불러와서 파티션 복구 진행⑧ 복구가 정상적으로 완료됐는지 FTK Imager에서 확인⑨ 파티션이 복구됐다면 이미지 파일을 autopsy등으로 분석 시작

보고서 작성 관련 질문 드립니다.

안녕하세요 sinbon님~!답안작성시에 각 문제별로 보고서 파일을 따로 저장하는 방법과 보고서는 하나의 파일로 작성하는 방법이 있습니다.다만 궁금하신점에 대한 정답은 따로 있지는 않습니다만 별다른 문제가 없다면 보고서는 1개의 파일로 만드셔도 무방할것 같습니다.예를 들어서 보고서.hwp 라는 파일을 만든후에 그 안에 1번 문제 : ~2번 문제 : ~3번 문제 : ~이런식으로 이어서 작성하시면 될것 같습니다. 앞에서 정답은 없다고 말씀드린 이유는 과거에 보고서 파일을 문제별로 각각 만들어서 제출하라는 경우도 있었고, 반대로 하나의 파일로 만들어서 제출하라는 경우도 있었으며, 그 외에는 보고서 파일 제출방법에 대해서 언급하지 않았던 적도 많기때문에 정답이 따로 있진 않습니다. 그렇기 때문에 시험 유의사항 등의 지침에 따라서 별도의 언급이 있다면 그에 맞춰서 해주시고그렇지 않다면 일반적인 경우로 생각하고 1개의 보고서 파일에 여러 문제들을 한 번에 정리하시면 될 것 같습니다 !

Autopsy관련 질문입니다.

안녕하세요 mire95s님!Autopsy에서 분석을 추가로 진행하려고 하시는 경우 아래 순서대로 진행해주세요.1) 메뉴의 [Tools]-[Run Ingest Modules]-[이미지파일명 예)forensictool.e01] 클릭(사진)2) 팝업된 Run Ingest Modules 창에서 추가로 분석하고자 하는 모듈 선택아래 스샷에서 삼각형으로 노란색 느낌표 이미지는 이미 분석이 완료된 모듈입니다.추가로 분석하고자하는 모듈만 선택한 뒤 우측 하단의 Finish 버튼을 클릭해주시면 추가 분석이 진행이 됩니다 ~(사진)

시험 관련 질문

안녕하세요 liku님!순서대로 답변 드릴게요~ 1. 제공되는 프로그램의 설치 시험 도구들로 제공되는 프로그램의 설치 파일은 편하신곳에 저장하시고, 설치도 설치시 기본으로 잡혀있는 루트에 설치하셔도 괜찮습니다. 참고로 최근 시험에서는, 제공되는 노트북의 저장공간이 SSD 단일 볼륨으로 제공되는것으로 확인되고 있어서( 볼륨이 C: 1개만 있는것으로 확인되고 있습니다) 사실상 선택의 여지가 없긴 합니다 2. 보고서, 증거파일의 저장 해당 강의 영상에서 말씀드린 내용은 과거에 윈도우즈 오류 등으로 리부팅을 해야하는 경우 간혹 노트북의 관리를 위해서 자동복구가 설정되어있는경우 C:에 저장된 모든 것들이 복구시점으로 롤백되는 가능성이 있을 수 있기때문에 안내를 드렸습니다 다만 위에서 말씀드렸듯이 최근에는 단일 볼륨으로 제공이 되기때문에 증거파일들을 저장할 다른 볼륨이 존재하지 않아서 이 역시 선택의 여지 없이 c:에 편하신곳(바탕화면 등)에 보고서 및 추출파일을 저장하셨다가 마지막 제출시에 복사해서 usb에 담으시면 될 것 같습니다 3. 해시값 특정 파일의 해시값을 기재하실때는 MD5와 SHA1 등 산출된 여러 Hash 중 하나를 선택하셔서 기재하시면 됩니다! 다만 해당 문제나, 전체 지침에서 특정 Hash로 기재하라고 되어있는 경우에만 그에 따라서 써주시면 되고, 그런 경우를 제외하면 편하신대로 선택하시면 되며 보고서 작성시 되도록 한번 사용했던 hash로 (처음에 Sha1을 사용하셨다면 계속 Sha1 값으로 통일) 통일해서 작성해주시는것을 권해드립니다. MD5와 Sha1를 번갈아 가며 사용해도 문제가 있는건 아니고 단지 통일성때문에 권해드릴뿐입니다 :)

24회 시험 chatgpt의 설치 삭제 시간 관련 질문 있습니다

안녕하세요 KMS님!순서대로 답변 드릴게요~1. 24회 시험에서 이미지 생성에 사용된 AI 프로그램 확인- 리뷰영상에서 말씀드렸듯이 확인된 내용은 Chatgpt와 Perplexity의 흔적입니다.그외에 생성된 이미지에 대한 정확한 정보나, 기타 설치됐던 ai생성 서비스의 정보가 확인이 안된상태이다보니어디까지나 추정을 통해서 Chatgpt라고 가정을 한 경우라고 생각해주세요.그렇게 추정한 이유는 아무래도 퍼플렉시티보다는 chatgpt의 흔적이 조금 더 남아있는 것으로 보여지고, 시험이라는 특성상 수험자에게 조금이라도 힌트를 주려는 의도도 있지 않을까 하는 생각에 퍼플렉시티보다는 상대적으로 더 알려져있는 Chatgpt일 가능성을 높게 보고 가정한 경우입니다!-참고로 생성된 이미지 파일을 hxd로 열어봤을때 문자열에 흔적이 남아있을 가능성도 있습니다.24회시험에서는 생성된 이미지 파일에 대한 정보가 전무하여 제가 확인을 할수는 없었으나,다만 제가 가능성이라고 말씀을 드리는이유는, 어떤 경우에 어떤 흔적이 남는지 아직 확실히 정리되지 않아서 어디까지나 참고수준으로만 보시는것을 권해드리는데, 예를 들면 아래와 같습니다.1) ChatGPT로 생성한 이미지 파일(사진)2) google nano banana로 생성한 이미지 파일(사진) 위의 스샷에서 보시는것처럼, 생성툴에 대한 정보를 확인할 수 있는 경우가 있으니 참고만해주세요. 2. 프로그램의 설치시간 등의 정보 확인시 우선순위- 이부분은 여러 변수가 많아서 단정적으로 말씀드리기는 어렵습니다만정말 시간이 부족한 경우에는 이벤트 로그나 NTFS LOG를 추출해서 의심이 가는 키워드로(예:chatgpt) 검색해서 확인하시고 그 내용만이라도 써주세요. 레지스트리는 하나하나 찾아가는것도 쉽지 않고, 무엇보다 프로그램에 따라서, 삭제전후상황에 따라서 레지스트리 기록 위치와, 기록이 남아있는지 등이 달라지기때문에 하나만 봐야한다면 레지스트리 보다는 이벤트 로그나 NTFS 로그를 검색해서 보시는것을 추천드립니다. 3. 말씀하신 상황별 시간 확인 방법은 대체적으로 맞습니다.다만 위 2. 질문 해주신것처럼 교차검증을 하기에는 시간이 부족하다고 생각되시는 경우에는설치/삭제 - 이벤트 로그 하나만 키워드로 검색해서 확인마지막 실행시간 - 프리패치정도로 하나만 확인하시는게 좋을것 같아요.4. 레지스트리, 이벤트 로그 확인 방법- 현실적으로... 이부분은 자꾸 해보시는방법밖에 없을것 같아요. 레지스트리의 경우 해당 키의 위치를 결국에는 외우는 수밖에 없는데 이렇게 하기가 너무 어려운경우이벤트 로그나 ntfs log 에서도 확인이 되는경우라면 그 방법으로라도 확인을 해주세요.특히 이벤트 로그는 주요 이벤트 ID의 의미를 알고 계시다면 찾는게 훨씬 쉬워집니다.다만 그렇게 하지 못하는 경우라도 해당 프로그램의 정보(예:실행파일명 등)를 바탕을 검색을 해보시면그렇게 어렵지 않게 확인이 되시지 않을까 싶습니다. 5. FAT#1 복구 관련 문제가 나오지 않는 이유- 이부분은 결국에는 출제자의 의도와 관련된 부분이다보니 제가 말씀드리기가 어렵습니다.다만 2급 시험이라는 점을 생각해봤을때, VBR복구가 FAT#1복구보다는 더 기본이기때문에그런게 아닐까 하는 추측만 할뿐이며, 시험이 회차를 거듭할수록 조금씩 깊게 들어간다는 점을생각해봤을때 언젠가는 그런 문제가 출제될 가능성도 완전히 배제하지는 못할것 같습니다.6. 판례 강의관련- 제가 올려드리는 판례 관련 영상은, 말씀해주신 학회에서 발간한 실기 교재에 나온 판례와 디지털 포렌식 중요판례 등을 다룬 다른 서적 등을 전반적으로 고려해서 케이스별로, 중요도별로 제 나름의 우선순위를 정해서 올려드리고 있습니다.

IP에 대해서 궁금한 점이 있습니다.

안녕하세요 now-06님!결론부터 말씀드리면, 1) 레지스트리 및 ipconfig등으로 확인한 IP주소 : 사설IP로 내부적으로만 사용되는 IP 주소2) 네이버의 '내 ip찾기', 토렌트 프로그램에서 확인한 IP : 공인IP로 외부에서 접속가능한 공식적인 IP주소입니다.네이버등에서 확인한 ip가 실제적으로 외부에서 나에게 접속가능한 실제 IP라고 생각하시면 되며,사설ip는 내부적으로만 사용가능한 ip라고 생각해주세요. 예를 들어서 인터넷을 이용하기 위해서는 인터넷 서비스 제공업체(SKB,KT,LGU+등)에 가입을 해야하죠? 일반적인 가정집의 경우 1회선을 제공을 받습니다.(물론 필요에 따라서 회선을 추가할수는 있겠죠)1회선이라는 말은 사실상 ip 1개를 부여받는다고 생각하면 되는데, 단순히 생각하면 ip가 1개이니 이용할수 있는 기기도 1개여야 맞겠죠?그런데 PC, TV, 기타 무선기기들까지 동시에 접속되어 사용하는 기기들이 많다보니 1개의 회선을 나눠서 동시에 사용하기 위해서 인터넷서비스 업체에서 제공한 1개의 회선을내부적으로 나눠서 사용을 합니다. 가장 흔한 예가 공유기이죠.(물론 공유기를 사용하지 않아도 OS에서 내부적으로 사설ip가 부여되기는 합니다)공유기 등을 이용해서 접속하는 기기마다 내부적으로만 사용하는 IP를 부여해서 사용하게 하는데이게 사설 IP입니다. 일반적으로 192.168.***.*** 형태로 볼 수 있는 ip입니다.이 IP는 내부적으로만 사용가능한 가상의 ip라 생각해주세요. 반면에 네이버등의 포털에서 내ip주소 찾기 등을 이용해서 확인가능한 ip는 공인IP입니다.사설ip와 달리 가상이 아닌 실체가 있는 ip라 생각하시면 되며, 이런 공인 IP는 일반적으로 인터넷 서비스업체(SKB,KT,LGu+등)에 가입하게 되면 부여가 됩니다.다만 일반적인 가정에서 부여받는 IP는 IP주소가 고정이 되어있지않고 접속할때마다 변동이 될 수 있는데, 이와 반대로 언제 접속해도 동일한 IP가 고정IP로, 일반가정에서는 잘 사용하지 않고 인터넷 서비스 업체에 요청해서(비용이 더 비싸죠) 회사나 기관 등에서 사용하는 편입니다.이런 고정 IP를 사용하는 이유는 여러가지인데,외부에서 내 네트워크로 접속을 하게끔 만드는 경우(접속할때마다 ip가 달라진다면 그때마다 알려야하니까),특정 웹사이트나 기타 온라인 서비스에 접속을할때 기존에 승인된 IP만 접속이 가능한 경우 등을위해서 사용합니다. 질문주셨던 내용중 ip할당은 누가하는지에 대한 답변을 드리면,가입한 통신사에서 할당을 합니다.네이버의 내 ip주소 찾기에서 확인한 ip는 통신사에서 할당한 ip로이 주소를 복사해서 whois 검색(https://whois.nic.or.kr)을 통해 조회해보시면가입하신 통신사의 정보를 확인하실수 있습니다. 또한 토렌트처럼 외부에 접속하는 경우에는 공인IP로 접속을 하게 됩니다.(192.168.*.* 처럼 사설ip는 내부에서만 사용합니다 !) 그리고 질문주실때 죄송하실 필요 전혀 없습니다!입문자를 위한 강의인만큼 아주 기초적인 질문이라도 걱정마시고 질문주세요~그러시려고 비싼 수강료 내고 강의를 들으시는거니까요!오히려 딥한 질문 주시면 제가 답변을 드리지 못할수도 있습니다 :)

Encase 만 사용해서 실기시험 볼 수 있을까요 ?

안녕하세요 홍은표님!기본적으로 Encase만으로도 시험준비가 가능하긴 합니다.굳이 나눠서 보자면,시험시 사용하는 툴에는 메인 분석프로그램과 보조 분석프로그램이 있습니다.메인 분석프로그램은 Encase / Autopsy 정도이며기본적으로 이미징 파일을 Encase or autopsy에 올려서 분석을 진행하고Encase나 autopsy에서 분석이 안되거나 분석이 되더라도 분석결과를 확인하기 불편하거나 하는 경우보조 분석프로그램을 사용하기도 합니다.이러한 보조 분석프로그램은 아티팩트에 따라서 세분화 되어있고 그 종류가 매우 많기때문에시험본부에서 제공하는 보조 분석프로그램 중에 선택해서 사용이 가능한데요,우선 Encase의 경우 autopsy에 비해서 상대적으로 분석이 되는 아티팩트가 조금 더 많은 편이긴합니다다만 Encase의 특성상 UI등이 상대적으로 직관적이지 못하고 복잡한 면이 없지 않기때문에Encase에 대해서 어느정도는 많이 알고 익숙하다면 큰 문제 없겠지만그렇게 않다면 보조프로그램 사용이 필요할 수 있습니다.개인의 Encase의 사용수준에 따라 차이가 많이 나기때문에 Encase만을 이용해서 시험을 볼 수 있다 없다라고 단답형으로 답변을 드리기에는 조금 어려울것 같습니다만,기본적으로 다른프로그램을 사용하지 않고 Encase만을 이용해서 시험을 볼수 있냐는 질문에는가능은 하다라고 말씀드릴수 있을것 같습니다.다만 출제되는 아티팩트가 시험마다 다르고, 해당 아티팩트를 분석해줄 보조프로그램의 사용법들이어렵지 않다보니 되도록 함께 준비하시는것을 추천드립니다.

향로 챌린지 참여 특별미션으로 질문 남기게 됐습니다.

네 궁금하신점이 있으시면 언제든 질문주세요~:)

enase recovery 복구후 이미지 생성