본문 바로가기
카테고리 없음

디지털 포렌식 기초

서어연연 2024. 3. 27. 16:18

앞으로 하게 될 일들

절차적인 부분, 법적인 부분은 하지 않고, 기술적인 부분만 다루는 강의이다.

 

-용어-

마운트란?

우리가 만든 디스크 이미지를 다시 드라이브처럼 컴퓨터에 붙이는 것

하나의 파일을 컴퓨터에게 하나의 드라이브처럼 인식해라라고 붙이는 것

 

메모리 덤프란?

컴퓨터에 메모리가 있을텐데 그것을 캡처하여 파일로 가져오는 것

-켜져있는 컴퓨터를 수사할 때 메모리 사용의 한 순간을 캡처하여

 파일을 변환시켜 나의 컴퓨터에 이동시키는 것

 

디스크 이미징이란?

디스크는 물리장비이기 때문에 파일 시스템 형태로 변환하는 것

 

디스크 이미징

강의 진행을 위해 아래 중 1개 이상은 포함되어야 한다.

  • C 드라이브 이외에 D,E 드라이브 등 추가 드라이브가 존재
  • 추가 드라이브가 없다면 USB가 1개 이상 존재
  • 둘 다 존재하지 않는 경우에도 (수업은 진행 가능하지만) 이미지 덤프 실습 불가능 -> 수업 자료 참고

 

본인은 추가 드라이브를 만들었는데 계속 오류가 발생해서 USB를 사용했다.. 오류는 구글링해도 찾을 수 없었다...

 

 

디스크 이미지를 만들고 마운트 시키는 과정

1. FTK imager 다운
https://drive.google.com/file/d/1Z7uWXZQlqKuwjWpS5dhZBT6CT-EJtCOT/view?usp=sharing (다운로드 파일 링크)

2. 관리자 권한으로 실행하기. =>이미지 덤프할 준비 완료

3.  Create Disk Image 눌러준다.

4. Physical Drive를 눌러준다.

5. 이미지 타입은 E01로 한다. raw와 E01을 많이 쓰는데 E01이 조금 더 압축된 포맷이다.

6. image destination 폴더와 파일 이름을 지정한다.

7. image fragment size는 0으로 지정 -> do not fragment라는 뜻 (이미지 파일을 쪼개지 않는다.)

!!특정 드라이브의 이미지는 같은 드라이브 저장이 되지 않는다!!

 

 

 

기초 도구 

HxD

  • 파일의 어떤 핵스 값이라고 부르는 것을 보는데 사용된다.
  • 바탕화면에 있는 파일을 가져오면 바이트 형태를 보기 쉬운 형태로 보여준다.

Everything

  • 컴퓨터 전체에 대해 인덱스를 만드는 것. 어떤 단어를 검색해도 쉽게 나온다.
  • 파일의 위치를 찾을 때 편리하다.

7zip

  • zip파일들을 압축 해제해주는 프로그램. (7집이 안되면 반디집을 쓰세요. 광고 많음 주의)
  • 특이한 압축파일들을 풀 때 사용한다.

Notepad++

  • 여러가지 파일을 한 번에 올려서 볼 수 있어서 편리하다.
  • 찾기에서 보면 전체 파일에 대해서 검색할 수 있다.

Sysinternal suite

  • 도구들의 모임

Ftk-imager

  • 이미지를 이미징하고 마운트하고 , 메모리 덤프도 할 수 있고 또 마운트해서 내부의 정보들을 찾아내는 도구들
  • 디스크 이미지를 관리하는 도구

Autopsy

  • 똑같이 이미지 관리하는데 추가적인 기능들이 붙는다.
  • Autopsy만 이용해도 기본적인 파일 아티팩트, 브라우저 정보, 삭제된 파일 정보, 타임라인도 만들 수 있다.

 

디스크 마운트, 메모리 덤프

Verify Result까지 돼서 각 생성한 이미지에 대해서 해시값까지 검증을 맞춰야 끝이 난다.

이미지 마운팅 버튼을 누른 다음 이미지 파일을 아까 생성한 이미지 파일을 가져와준다.

마운트를 누른다.

 

add evidence item을 통해 한 번 evidence item을 추가한다.

->마운트된 드라이브를 FTK 이미저에서 증거 아이템으로 추가한다.

 

캡처메모리 클릭

캐처 메모리

 

찌꺼기 데이터가 많다. 우리는 메모리 일부만 사용한다

=> 의미 있는 데이터 찾아내는게 쉽지 않다.

 

쉽게 따라하는 삭제 파일 복구

 

FTK imager를 이용한 삭제 파일 복구

파일을 evidence에 추가한다.

플러스 버튼 누르면 루트가 뜬다.

루트를 누르면 파일이 뜬다.

->이 파일들은 내가 만든 디스크 이미지 안에 들어있는 파일들을 쭉 보여주는 것

왼쪽에 X 쳐져 있는 파일이 삭제된 파일

 

-복구-

삭제된 파일 우클릭한다.

export files 클릭한다.

위치를 선택한다.

이게 뜨면 복구 성공

 

!!삭제된 파일이 안보일 때!!

루트 아래에 recycle.bin 휴지통에 삭제된 파일 있을 가능성 있다.

 

오톱시를 이용한 삭제 파일 복구

new case

디스크 이미지 타입으로 시작한다.

path를 선택한다.

타임존(분석을 어떤 시간 기준으로 할건지)은 아시아/서울로 선택한다.

finish를 하면 왼쪽에 오톱시에서 분석한 것들이 보인다.

 

프로그램 이미지가 복잡해질수록 오톱시처럼 분류해주는게 가치가 있다.

티스토리툴바