Digital Forensic - 디지털 포렌식

Forensic

여러 Tool을 이용한 Digital Forensic

 

소프트웨어 쓰기 방지 장치

regedit - HKEY-LOCAL MACHINE - SYSTEM - CurrentControlSet - Control

위의 경로에 들어간 후 StorageDevicePolicies라는 새로운 키를 만들어줍니다.

들어가서 DWARD (32비트) 값을 새로 생성해줍니다. 이름은 WriteProtect

그리고 더블 클릭하면

값 데이터가 0으로 표시

값 데이터를 1로 바꿔줍니다.

그리고 USB 장치를 연결하면 새 폴더를 만들어보면 새로운 폴터가 만들어지지 않는 것을 알 수 있습니다.

사진은 폴더가 만들어지지 않는 것이라 따로 준비하지 않았습니다.

그리고 혹시 그냥 폴더가 만들어진다면 키의 이름과 D WARD 값의 이름을 다시 한번 확인해주시기 바랍니다.

---

Forensic Image 만들기

 

FTK Imager 사용* 위의 소프트웨어 쓰기 방지 장치가 실행된 상태입니다. *설치 후 실행시켜줍니다.

왼쪽 상단의 File - Create Disk Image - Physical Drive를 선택해주었습니다.

캡쳐를 못했는데 Source Drive Selection을 연결한 USB Driver를 선택합니다.

Image Type을 E01 선택

Evidence Item Information의 정보를 임의로 입력해줍니다.

완료

왼쪽 상단 File - Add Evidence item... - Image File - Browse... 저장했던 E01 확장자의 파일을 선택

화면 좌측을 보시면 정상적으로 Select했습니다.

USB의 내용을 확인할 수 있습니다. Image를 만들기 전 삭제했던 폴더도 보입니다.

USB의 내용과 동일하게 복제된 것을 확인

 

Hashing

: 원본과 사본의 동일성을 확인할 때 유용

Hash My Files 설치 후 실행

실행 화면입니다.

준비했던 파일들을 넣어줍니다. 상단의 File - add Files

MD5, SHA1 등의 값이 같은 파일들이 있는데 확장자는 다릅니다. 이유는 RAW 값이 같기 때문인데 가짜 파일을 가려봅시다.

몇 개가 있지만 Hashing-2와 Hashing-7을 비교해보겠습니다.

FTK Imager에서 열어주고 파일들을 확인해보겠습니다. 우선 Hashing-2부터, 하지만 파싱이 되지 않습니다.

Hashing-7은 파싱도 되고 앞의 File Signature가 .docx 이므로 이 파일이 진짜임을 확인할 수 있습니다.

 

Hashing - Autopsy

 

Autopsy 설치 후 실행

실행 화면입니다. New Case를 눌러줍니다.

Case Name과 Base Directory를 임의로 정해줍니다.

Base Directory에 Case가 생긴 것을 확인할 수 있습니다.

Case Number, Examiner Name, Phone, Email, Notes를 임의로 입력해줍니다.

준비되어 있던 drive4.E01을 Path로 설정해줍니다.

Deselect All로 전부 체크를 해제하고 Hash Lookup만 체크 그리고 우측의 Global Settings를 눌러줍니다.

Destination은 Local, Hash-Set Name을 설정해주고 저장할 위치 확인 후에 Type은 Notable로 설정

나오면 우측의 Add Hashes to Hash Set을 눌러서 미리 준비되어 있던 MD5 Hash Values를 넣어줍니다.

성공적으로 넣고나면 좌측의 Analysis Results에 Hashset Hits - test-set2로 결과가 나옵니다.

결과를 불러왔고 파일들을 잘 훑어봅니다.

결과와 아까 넣은 Hash-Set과 비교를 해보겠습니다.

위에 넣은 Hash-Set과 다른데, 오류가 있어서 다시 했습니다. 방법은 같습니다.

 

 

File Export

 

파일을 선택하고 우클릭을 눌러주면 Extract File이 있습니다. 눌러줍니다.

Export 폴더에 저장하겠다고 합니다.

Export 폴더의 경로는 처음에 만들었던 Base Directory의 내부에 Export가 있습니다.

성공

폴더의 경로를 보시면 Export 폴더에 ndadmin.exe가 extract된 것을 확인할 수 있습니다.

 

Export 한 파일 MD5, Full Path 값 찾기

Export된 파일을 Hash My Files에 넣어줍니다.

더블클릭해서 자세한 정보를 확인합니다. 필요한 MD5, Full Path를 복사해옵니다.

답을 얻어냈습니다. MD5의 Hash 값은 이 자료의 무결성을 위해 사용될 예정입니다.

 

 

파일들을 리스트로 내보내기

 

우측 상단의 Save Table as CSV를 눌러줍니다.

경로에 대한 간략한 설명과 날짜정보를 이름으로 저장 합니다.

완료

.csv 확장자로 Export 폴더에 저장되었습니다. csv 파일은 텍스트나 스프레드 시트로 표현됩니다.

깔끔하게 리스트로 정리된 것을 확인할 수 있었습니다.

 

Slack

Windows - system32를 보다가 확장자가 Slack이라는 파일을 발견하게 되었습니다.

Slack에 대해 설명하자면

 

Disk는 Cluster로 구성되어 있습니다.

Cluster는 하나 이상의 Sector로 구성되어 있고, Cluster는 파일이 저장되는 단위입니다. NFTS에서는 보통 Sector의 크기가 512 Byte이고 1개의 Cluster는 8개의 Sector로 이루어져 있으므로 Cluster의 크기는 일반적으로 4096 Byte입니다.

아무리 작은 파일을 만들어도 최소 4096 Byte는 쓰입니다. 예를 들어 1300 Byte의 파일을 생성하면 아래와 같이 2.x 개의 섹터가 사용되고 나머지 공간은 비어있습니다. 

Sector내의 비어있는 공간을 RAM Slack이라고 하며, 아예 쓰여지지 않은 공간들은 Drive Slack이라고 합니다.

 

출처 : https://always-try.tistory.com/

Always-Try(정보보안 및 일상)