1주차 과제

A과제 : 디스크 덤프, 디스크(이미지) 마운트, 메모리 덤프 실습

실습 진행을 위해서 사용한 프로그램 입니다.

VHD만들기

[디스크 관리] - [동작] - [VHD 만들기] 를 한 다음 다음과 같이 입력 해주시면 됩니다.

실습을 진행할 가상 디스크는 512MB짜리로 mbr 파티션 스타일로 포맷을 하였고, NTFS 파일 시스템으로 진행을 했습니다.

 

먼저, 준비한 파일들은 다음과 같습니다.

3장의 jpg 파일을 준비 하였고, 파일을 삭제 하도록 하겠습니다.

 

[디스크 덤프]

 

디스크를 덤프하기 위해서는 FTK Imager를 실행한 후 다음과 같이 따라 하시면 됩니다.

[File] - [Add Evidence Item] - [Physical Drive] - [덤프할 디스크] 저 같은 경우는 PHYSICALDRIVE2 입니다.

이렇게 선택을 하고 Finish를 누르면 Evidence Tree에 하나 생성이 됩니다.

그 후에 우측 클릭을 하여 Export Disk Mount를 하면 디스크를 덤프 뜰 수 있습니다.

과정은 사진으로 설명하겠습니다.

1.  Add를 눌러줍니다.

 

2. 이미징을 할 파일을 지정해 줍니다. (보통 Raw(dd) , E01을 지정 해줍니다.)

두개의 차이점은 Raw는 디스크 자체를 이미징을 뜨기 때문에 hxd에디터로 disk를 열었을 때, MBR부터 그대로 원본 데이터 그대로 이미징을 진행하는 것이고, E01은 압축하여 디스크를 이미징 뜨지만, Encase 포맷으로 압축한 이미지를 만듭니다. 간단하게, 파일 시스템이 조작되어 있다면 Raw로 이미징을 하셔야하고, 그렇지 않다면 E01로 이미징을 하셔도 상관없습니다.

 

3. 상황에 따라 사건번호를 적어 주시면 됩니다.

 

4.  이미지를 저장할 폴더와 이미지 파일 이름을 작성합니다.

5. 작성이 완료 되었으면 start버튼을 눌러줍니다.

이렇게 했다면 실습 파일인 디스크 2번에 대한 이미징 작업이 완료 되었습니다.

2개의 파일이 생성되면 잘 된것입니다.

 

[디스크 마운트]

 

생성된 test.E01을 FTK Imager를 통해서 불러오면 됩니다.

[File] - [Add Evidence Item] - [Image File] - [마운트 할 이미지 파일]

 

불러오게 되면 test.E01이 Evidence Tree에 생기게 됩니다. 그래서 아까 삭제된 사진들을 복구 해보도록 하겠습니다.

 

root\$RECYCLE.BIN\<고유번호>\ 에서 삭제된 파일들을 볼 수 있었습니다.

 

우클릭을 하여 Export File을 하시면 정상적으로 삭제된 파일들을 복구할 수 있었습니다.

 

[메모리 덤프]

 

메모리 덤프는 다음과 같은 순서로 뜨면 됩니다.

 

[Capture Memory] 를 누른 후, 저장 경로를 지정한 다음 Capture Memory를 누르시면 됩니다.

주의, 가상화가 BIOS에서 켜져 있다면 반드시 꺼주시길 바랍니다. 메모리 수집 드라이버를 방해하기 때문에 시스템에서 블루 스크린을 불러 일으킵니다.

 

B과제 : 포렌식 분석을 위한 최선의 도구 모음과 환경 설정에 대해 고민해보고, 정리해서 보고서 제출(도구 종류 및 정리, 단축키, 환경 변수 등)

 

[이미징 도구]

FTK Imager : Windows에서 분석할 수 있는 도구로써, 액세스 데이터에서 다운로드 가능한 툴로, 디지털 미디어를 수집하는데 사용합니다. 수집된 데이터 무결성을 보장하기 위해 비트 단위 또는 비트 스트림으로 정확히 이미지를 생성합니다. 더불어 데이터 사전 분석 및 RAM 같은 휘발성 데이터 수집이 가능합니다.

 

AutoPsy : Linux 시스템에서 사용할 수 있는 포렌식 프로그램인 sleuth Kit을 Windows 시스템에서 GUI형태로 이용할 수 있도록 개발된 오픈소스 포렌식 프로그램입니다. 주요 기능은 다양한 운영체제 및 파일 시스템을 다룰 수 있으며, 타임라인 분석을 할 수 있다는 점입니다. 타임라인 분석이 필요한 이유는 사용자의 시간대별 행위를 분석하여 범죄를 일으킨 시간과 대조하여 범행 시간을 예측할 수 있기 때문입니다.

 

[hex 분석 도구]

Hxd Editor : 16진수로 표현된 이진 파일을 읽을 수 있게 보여주는 프로그램입니다.

010 Eitor : 파일을 분석할 때, Signature, Version, FileTime 등 값들을 아래에 정리해서 나열해줍니다. 

 

[네트워크 포렌식 도구]

WireShark : 네트워크 패킷을 캡쳐하고 분석하는 오픈소스 도구입니다.

NetworkMiner : 패킷 캡쳐 기능을 제공하면서 사용하는 운영체제, 세션, 호스트이름, 포트 정보등을 탐지할 수 있으며, pcap파일을 직접 읽어 오더라도 동일하게 적용됩니다.

tshark : 네트워크 프로토콜 분석기이며, 라이브 네트워크에서 패킷 데이터를 캡처하거나 이전에 저장된 캡처 파일에서 패킷을 읽어 해당 패킷의 디코딩된 형식을 표준 출력으로 인쇄하거나 패킷을 파일에 쓸 수 있습니다. 

 

[메모리 포렌식 도구]

Volatility : 메모리 포렌식에서 메모리 덤프 파일을 분석할 때, 가장 많이 사용되고 있는 도구로써 다양한 플러그인으로 분석을 진행 하면서 필요한 정보들을 수집할 수 있습니다.

 

[레지스트리 분석 도구]

Rega : 고려대학교에서 개발한 레지스트리 분석 도구입니다. 레지스트리는 운영체제의 HW/SW뿐 아니라 윈도우 시스템의 모든 정보가 기록되는 곳이기 때문에 포렌식 분석을 함에 있어 꼭 필요합니다.

 

[웹 브라우저 분석 도구]

DB SQLite : DB를 분석할 때 쓰는 도구입니다. 데이터베이스나 웹 로그를 분석할 때, 보통은 난독화 되어 있는 형태로 값이 저장되는데, 해당 도구를 사용하게 되면 분석을 쉽게 할 수 있도록 값을 파싱해서 보여줍니다.

 

IE10 Analyzer : 윈도우 익스플로러를 분석할 때 사용합니다. 이 프로그램은 사실상 Windows 10 운영체제 보다는 Windows 7 운영체제를 분석할 때 사용하게 됩니다. 왜냐하면 Windows 10에서는 웹 브라우저를 보통 chrome, edge, 네이버 웨일 등 익스플로러는 잘 사용하지 않기 때문입니다.

 

[동적분석을 위한 도구]

IDA : 디스어셈블리의 일종으로, 바이너리 파일을 어셈블리어로 재구성 해주는 도구입니다.

포렌식을 하게 되면 보통은 이미징 작업을하고 시스템 분석하고 이런것이 대부분이라고 생각하지만 조금만 더 범위를 넓혀 본다면 리버싱 기술을 포함해 프로그램 자체를 분석해야 되는 상황이 올 수 있기에 사용됩니다.

 

이 외에도 메모리 덤프를 뜰 수 있는 winpmem, dumpit …. 스테가노 그래피 기술을 활용하여 이미지 복원을 할 수 있는 openstego 등 다양하게 있지만 필요한 몇 가지만 적어 보았습니다.