또 질문드립니다!

속시원하게 해결해드리면 좋은데 그렇지못해서 죄송하네요.

우선 다른pc에서 연습하실때, 이미지 마운팅하고 비트라커 복호화하는것은 한번해보시면 바로 이해되실정도로 간단합니다. 그런데 충분히 익숙해지지않으면 헷갈릴수 있는부분이여서 반드시 여러차례 해보시는것을 추천드려요~

Jee님 !

Win11 에서 이미지 마운팅 관련해서 나름 테스트를 해봤는데(Win10 Home/Pro, Win11 Home/Pro), 말씀하신 오류를 확인할 수 있었습니다.

비트라커를 한 OS와 상관없이(Win10 Pro/Win11 Pro) 해당 이미지를 어디에서 어떤 프로그램을 이용하냐에 따라서 결과가 달랐는데 결론부터 말씀을 드리면 Win11에서(Home/Pro) FTK Imager를 이용하여 마운팅할 경우 'Add drive Failed'라는 오류 메시지를 확인할 수 있었고, 뭔가 마운팅이 되긴했지만 막상 들어가보면 'Unallocated Space'라며 정상적으로 마운팅이 안되있더라고요.

이 이미지를 다른 마운팅 프로그램(Arsenal Image Mounter)을 이용해서 마운팅하면 정상적으로 되는것으로 봤을때, 아마 FTK Imager의 이미지 마운팅 기능과 Win11과의 어떠한 충돌이 발생하는게 아닌가 의심이 됩니다. 20회시험에서 제공된 윈도우 버전이 11인지 10인지는 정확히 알수 없지만, 11이였을경우 FTK Imager를 이용해서 정상적으로 마운팅이 됐었다면 그 후에 윈도우즈 11 업데이트 되고 문제가 발생했을수도 있고요.

우선 이 부부은 FTK Imager 제작사에 문의를 넣어놓은 상태인데, 제 생각대로 충돌이 일어나서인지, 아니면 다른 문제가 있는건지는 답변이 올때까지 지켜봐야할것 같습니다.(답변을 제대로 받을수 있을지는 모르겠지만요)

그래서 연습하실수 있도록 앞에 말씀드린 Arsenal Image Mounter를 이용한 방법을 설명을 해드릴까 했는데, 중요한건 시험장에서 사용할수 있어야 하는데, 이 프로그램을 포렌식학회 검정본부에서 처음부터 설치를 해 준다면 상관이 없지만, 직접 가지고 가셔서 설치를 할 경우에는(실제로는 설치없이 바로 실행은 가능합니다) 아마 사용을 못하실것 같다는 생각이 들더라고요. 프로그램 설치하면서 Microsoft 업데이트가 필요한 부분이 있는데, '.Net Desktop Runtime'을 다운로드 받아서 설치하게 됩니다. 그런데 문제는 이게 다운로드를 받아서 진행되는부분이여서 시험장환경이 인터넷 연결이 차단된 점을 생각하면 사실상 사용을 못할것 같다는 생각이 들거든요. 그래서 큰 의미가 없을것 같아 따로 설명은 드리지 않기로 했는데, 그래도 필요하시다면 말씀해주시면 설명을 해드리도록 하겠습니다.

Jee님~

Ftk imager를 완전히 삭제후(제어판에서 언인스톨)에 다시 설치해보시겠어요?

만약 그래도 안된다면, 지금쓰시는 노트북외에 다른 컴퓨터에서 해보실수 있으실지 모르겠습니다.

윈10 home에서는 되고,윈11 home는 안될이유는 없는데... 저도 이유를 한번 찾아보고 나오는게 있으면 말씀드릴게요~

안녕하세요 Jee 님!

올려주신 스크린샷의 [Image File:] 란의 경로와 파일명을 보니 파일명이 'bitlocker 연습.001' 파일을
불러오신것 같은데 저 파일은 어떤 파일인지 궁금합니다.

제가 올려드린 자료의 압축을 해제하면 아래와 같이 3개의 파일을 보실 수가 있는데요

이 중에서 이미지 파일인 'bitlocker.e01'파일을 마운팅 하셔야 하는데, 스크린샷에서 확인된

'bitlocker 연습.001' 파일은 혹시 파일명이나 확장자를 변경하셨을까요?

제가 올려드린 파일 중에 어떤 파일을 변경하셨는지 궁금합니다.
처음에는 'bitlocker.e01'파일을 마운팅 해봤지만 오류발생으로 파일명을 변경해서 해보셨을수도 있을것 같다는 생각이 들긴 한데, 올려드린 파일에 문제가 있나 싶어서 똑같이 다운로드 받은 후에 Win10 Home 버전에서 마운팅시켜봤는데 정상적으로 나오는 것을 확인해서, 우선은 압축해제후에 'bitlocker.e01'을 마운팅을 해보시고 안된다면 그때도 올려주신 스크린샷처럼 'Add drive failed' 메시지가 뜨는지, 다른 메시지가 뜨는지 말씀부탁드리겠습니다.

안녕하세요 Jee님!

1. 윈도우 Home 버전에서의 비트라커 연습방법
- 말씀해주신대로 윈도우 Home 버전에서는 비트라커를 지원하지 않아서 연습을 어떻게 하셔야할지 난감하시죠? Home 버전에서는 비트라커 프로그램이 내장되어있진 않아서 특정 볼륨을 암호화할 수는 없지만 암호화된 볼륨을 복호화 할 수는 있습니다.
- 비트라커 강의 영상의 첨부파일에 복호화 연습을 하실수 있도록 암호화된 볼륨의 이미지파일과 복구키 정보가 담긴 텍스트 파일을 업로드 했습니다. 이 파일을 다운로드 받으신 후에 이미지파일(.e01)은 시험에서 제공된 암호화된 볼륨의 이미지 파일이라 생각하시고, 복구키 텍스트 파일은 암호화된 볼륨과 다른 정상볼륨에 숨어있던 복구키 텍스트라고 생각하시고 연습하시면 될 것 같습니다.
- 복구 방법은 비트라커 강의 영상에서 복구파트를 참고해서 그대로 진행해주세요
- 연습하실수 있는 파일을 예전에 영상 업데이트와 함께 올려드렸어야 하는데, 제가 생각을 못했었던것 같습니다. 말씀해주셔서 감사합니다 :)

2. 스테가노그래피 파일을 빠르게 찾는 방법
- 결론부터 말씀드리면 없습니다 ㅜ_ㅜ 스테가노그래피 파일을 포렌식 프로그램에서 자동으로 탐지하는 방법이 없다보니 결국 하나하나 수동으로 확인하는 방법밖에 없는데요, 다만 (시험에 한정해서) 우리가 집중적으로 봐야할 대상들이 있긴 합니다.

1) 이미지파일 : Jpg, Gif, Png 확장자

- 특히 JPG을 유심히 보셔야하는데, 지금까지 시험에 출제됐던 스테가노그래피 문제는 jpg 파일에 다른
jpg 파일을 집어넣는 형태였습니다. 다만 20회시험이 기존 출제방향과는 완전히 다른 형태로 출제된 것을
볼 때 이 역시 안심할수는 없겠지만, 그래도 JPG가 기본이 되고, 조금 변화가 있다면 Gif, Png 정도의
이미지 파일로 바꿔서 출제는 가능할 것 같습니다. 우선 이미지 파일이라면 의심해보세요.

2) 파일명이나 이미지 내용이 시나리오와 관련이 있는 내용
- 이미지 파일을 하나하나 다 볼 수는 없겠죠? 그렇다면 이미지 파일의 파일명이나, 그림·사진의 내용이 시나리오와 관련이 있는지를 확인해보시는것도 방법입니다.
예를 들어 시나리오가 기술유출이라는 내용일 경우, 유출을 하기 위해서 도면등의 사진을 촬영을 하고, 그 파일을 이메일, ftp 등의 방법을 이용해서 전송하는게 일반적인데, 그림·사진 파일들 중 유출로 의심되는 도면등의 파일, 또는 그 파일 자체는 유출과 상관이 없지만 '도면'일 경우 확인을 한번 해주세요.

또 파일명이 그나마 눈에 띄는 파일명일 가능성이 높습니다. 한글로 되어있다거나, 영문이어도 너무 길지 않고 눈에 들어오는 파일일 가능성이 있습니다. 반대로 영문인데 길면서 무작위로 집어넣은듯한(예: q23ijflsdkjvlkshklw4jrlmkfweamflkmalkefjklasdj.jpg) 파일도 의심해볼만 하고요. 중요한건 눈에 띄는 파일명 또는 그림·사진의 내용이 시나리오와 관련이 있어보이는 파일은 확인을 한번 해주세요.

3) 파일의 용량
- 용량으로 판단하기에는 조금 어려움이 있습니다. 스테가노그래피 파일이 아닌 정상파일이라고 해도 이미지내용과 해상도, 압축률에 따라서 용량이 천차만별이니까요 그래서 이미지 파일 용량이 'OOmb 이상 차이나면 확인해야한다' 처럼 절대적 기준을 잡기가 어렵습니다. 다만 이런 경우는 있을 것 같아요. 연속되는 파일명 또는, 같은 장소에서 촬영한 듯한 여러 장의 사진이 이어질때
( 도면1.jpg, 도면2.jpg / 같은 장소에서 (모니터 화면을 촬영하거나 출력물을 촬영) 내용이 다른 여러장의 사진을 촬영한 경우) 용량에는 큰 차이가 없어야 하는데 MB단위로, X배이상(1.5배, 2배,3배 등) 차이가 난다면 의심을 해볼 수는 있습니다.

예) 도면1.jpg : 3MB / 도면2.jpg : 6MB

- 스테가노그래피는 여러개의 파일이 하나의 파일로 합쳐지는 것이기때문에 용량도 두개의 파일을 더한만큼 커지게 됩니다. 같은 장소등에서 촬영한 사진은 차이는 있겠지만 2배이상의 차이가 날 수는 없다보니(파일마다 촬영옵션(해상도등)등이 동일하다는 가정하에) 그런 파일은 한 번 확인을 해보시는게 좋습니다.

 ■ 스테가노그래피는 약간의 '촉' 이 필요한 부분이기도 합니다 ;

3. 특정 경로에 있어야 할 폴더 및 데이터를 찾는 방법

- 이 부분은 제가 질문의 의도를 정확히는 이해하지 못했는데요, 예를 들어서 하나의 이미지 파일이 있고
그 이미지 파일을 분석을 돌렸을때 다른 사람들은 'user/appdata/roaming/' 이하에 A라는 폴더와 파일들이
확인이 되는데 Jee님께서는 A라는 폴더나 파일들이 확인이 안된다는 말씀이실까요?

- 다른사람에게는 보이는데 나에게 안보이는 경우라면 분석옵션에서 필요한 옵션 선택이 안되어있을 가능성이 있을것 같은데, 혹시 말씀하시는 이미지 파일이 어떤 파일인지(예: 포렌식학회 실기 책의 실습 문제 등) 말씀해주실수 있으실까요? 공개적으로 말씀하시기 어려운 경우 제 이메일(nstyxn [at] gmail.com)로 말씀한번 부탁드릴게요. 직접봐야 답변을 드릴수 있을것 같습니다.

4. Autopsy 사용시, 특정파일의 SHA1 hash 확인방법

- 말씀 해주신 것 처럼 오톱시에서는 SHA-1 Hash를 지원하지 않습니다. MD5와 SHA-256만 확인이 가능하죠. 그래서 만약 출제된 문제에서 'SHA-1 hash 가 xxxxxxxxxxxxx인 파일을 찾고 해당파일의 OO를 확인하라'라는 형태로 문제가 나온다면 난감할 수 있습니다.

- 그래서 이런 경우에는 FTK Imager를 이용해서 확인이 가능합니다.

● SHA-1 Hash값이 5e29f691dbe8bbce120cf1c4d8334b3313d5830f 인 파일을 찾고,
해당 파일의 용량을 확인하라' 인 문제가 있다고 가정할 경우

- FTK Imager 실행 후에 동일한 이미지 파일을 불러온 후, 각 볼륨마다 전체파일의 해시값을 산출하기 위해서 볼륨을 선택한 뒤 마우스 오른쪽 > [Export File Hash List] 클릭
- 원하는 위치에 hashlist 등의 임의의 파일명을 설정 후에 저장(csv파일로 저장됩니다)

- 저장한 위치로 이동하여 파일 열기

- 엑셀파일에서 SHA-1 셀에서 '5e29f691dbe8bbce120cf1c4d8334b3313d5830f'을 검색하여 파일의 위치와 파일명, MD5 해시값 확인

검색결과 SHA-1 해시값이 '5e29f691dbe8bbce120cf1c4d8334b3313d5830f'인 파일은

'OLE 파일 구조.hwp' 이며, 이 파일의 MD5 hash 값은 'aacb67b980cc24254718a9027699b525'

-다시 Autopsy로 돌아와서 FTK Imager에서 확인한 파일을 검색하여 파일명과 MD5 hash값이 동일한지 확인

조금 번거롭긴 하지만, autopsy에서는 지원하지 않는 SHA-1 Hash 값을 갖는 특정 파일은 위의 방법으로 확인 하실수 있습니다.

5. Autopsy에서의 특정 Hex 값 검색
- 기본적으로 autopsy에서는 Hex값 검색 기능이 없는 것으로 알고 있습니다.

- 궁금하신 부분이 전체 파일 중 특정한 Hex 값을 갖는 파일을 찾는 것인지, 아니면 하나의 파일 안에서 특정한
Hex값을 검색하는 경우인지는 정확히 모르겠지만, 특정 파일 내에서 특정 hex값을 검색하는것은 해당 파일
을 추출 후에 HxD 등의 헥스 에디터 프로그램에서 검색을 하실수 있습니다.
(궁금하신 점이 전체 파일 중에 특정 Hex값을 갖는 파일을 찾기 위한 것인것 같은 느낌이 들긴하네요;)

질문 많이 주셔도 전혀 문제 없으니 언제든지 질문 주세요 :)