제이제이 IT 스토리

제2장 디지털 증거의 수집

제8조(과잉금지의 원칙) 

디지털 데이터의 수집은 수사목적을 달성하는데 필요한 최소한의 범위에서 이루어져야 한다.

제9조(지원요청 및 처리)

① 수사과정에서 디지털 데이터의 압수 · 수색 · 검증이 필요한 경우 경찰청 각 부서는 경찰청 디지털포렌식센터장에게, 지방경찰청 각 부서 및 경찰서의 수사부서는 지방경찰청 사이버안전과장(사이버안전과가 설치되지 않은 지방경찰청은 수사과장)에게 압수 · 수색 · 검증에 관한 지원을 요청할 수 있다.

② 경찰청 디지털포렌식선터장 또는 지방경찰청 사이버안전과장(사이버안전과가 설치되지 않은 지방경찰청은 수사과장)은 압수 · 수색 · 검증에 관한 지원을 요청받은 경우에는 지원의 타당성과 필요성을 검토한 후, 지원여부를 결정하여 통보하여야 한다.

③ 압수 · 수색 · 검증과정을 지원하는 증거분석관은 성실한 자세로 기술적 지원을 하고, 수사관은 압수 · 수색 · 검증영장 및 제10조 각 호의 내용을 증거분석관에게 사전에 충실히 제공하는 등 수사의 목적이 달성될 수 있도록 상호 협력하여야 한다.

제10조(영장 집행의 준비)

디지털 데이터를 압수 · 수색 · 검증하고자 할 때에는 사전에 다음 각 호의 사항을 고려하여야 한다.

1. 사건의 개요,압수 · 수색 · 검증 장소 및 대상
2. 압수 · 수색 · 검증할 컴퓨터 시스템의 네트워크 구성 형태, 시스템 운영체제, 서버 및 대용량 저장장치, 전용 소프트웨어
3. 압수대상자가 사용 중인 디지털 저장매체
4. 압수 · 수색 · 검증에 소요되는 인원 및 시간
5. 디지털 증거분석 전용 노트북, 쓰기방지 장치 및 하드디스크 복제장치, 복제용 하드디스크, 하드디스크 운반용 박스, 정전기 방지장치 등 압수 · 수색 · 검증에 필요한 장비

② 수사관은 압수 · 수색 · 검증현장에서 제1항의 방법이 불가능하거나 현저히 곤란한 경우에는 복제본을 획득하여 외부로 반출한 후, 제1항의 방법으로 디지털 데이터를 압수할 수 있다.

③ 수사관은 압수 · 수색 · 검증현장에서 제1항 및 제2항의 방법이 불가능하거나 현저히 곤란한 경우에는 디지털저장매체 원본을 외부로 반출한 후, 제1항 또는 제2항의 방법으로 디지털 데이터를 압수할 수 있다.

④ 수사관은 제1항부터 제3항까지의 규정에 따라 디지털 데이터를 압수하는 경우에는 피의자나 변호인, 소유자, 소지자 또는 「형사소송법」 제123조에 정한 참여인(이하 "피압수자등"이라고 한다)의 참여권을 보장하여야 한다.

⑤ 수사관과 증거분석관은 제1항부터 제3항까지의 규정에 따라 디지털 데이터를 압수하는 경우에는 데이터 고유 식별값(이하 "해시값"이라고 한다) 확인 등 디지털 증거의 동일성, 무결성을 담보할 수 있는 적절한 방법과 조치를 취하여야 한다.

제11조의2(디지털 저장매체 자체의 압수 · 수색 · 검증) 

① 수사관은 다음 각 호의 사유가 존재하고 디지털 저장매체 자체를 압수 · 수색 · 검증할 수 있도록 영장에 기재되어 있는 경우에는 디지털 저장매체를 압수할 수 있다.

1. 도박 · 음란 · 기타 불법사이트 운영 사건 등 디지털 저장매체에 저장된 원본 디지털 데이터가 다시 범죄에 이용될 우려가 있는 경우

2. 디지털 저장매체에 음란물 또는 사생활 보호의 대상이 되는 내용 등이 담겨져 있어 유포 시 개인의 인격에 상당한 피해가 우려되는 경우

3. 불법 또는 정당하지 않은 방법으로 취득한 디지털 데이터가 디지털 저장매체에 저장되어 있는 경우

4. 디지털 저장매체 또는 디지털 저장매체가 포함된 존재 자체가 범죄의 증명에 필요한 경우

5. 그 밖에 제11조의 방법에 따른 압수가 불가능하거나 압수의 목적을 달성하기에 현저히 곤란한 경우

② 제1항의 경우 디지털 저장매체의 압수에 관하여는 범죄수사규칙(경찰청 훈령 제774호)을, 디지털 저장매체에 저장된 디지털 데이터에 관하여는 제11조제5항을 각 준용한다.

제12조(확인서 등) 

① 수사관은 제11조제1항에 따라 디지털 데이터를 압수하는 경우에는 해시값을 확인한 후 별지

제1호서식의 전자정보 확인서를 작성하여야 한다.

② 수사관은 제11조제2항에 따라 획득한 복제본을 반출하는 경우에는 해시값 확인 및 참여권 고지 후 별지 제3호서식의 복제본 반출(획득) 확인서를 작성하여야 한다. 이 경우 복제본 반출 이후 디지털 데이터를 압수할 때에는 제1항을 따른다.

③ 수사관은 제11조제3항에 따라 디지털 저장매체 원본을 반출하는 경우에는 원본 봉인 및 참여권 고지 후 원본 반출 확인서 또는 원본 반출 확인서(모바일기기)를 작성하여야 한다. 이 경우 원본 반출 이후 디지털 데이터를 압수하는 때에는 제1항을, 복제본을 획득할 때에는 제2항을 각 따른다.

④ 제3항 후단 중 원본 반출 이후 복제본을 획득하는 경우 피압수자등이 복제본 획득과정에 참여하지 않거나 참여를 철회할 때에는 복제본 반출(획득) 확인서 작성을 생략할 수 있다.

⑤ 수사관 또는 증거분석관은 제11조제2항 또는 제11조제3항에 따른 압수 · 수색 · 검증 과정에서 피압수자등이 참여를 철회하는 경우에는 참여철회 확인서를 작성하도록 하여야 한다.

⑥ 수사관은 제11조제3항에 따라 반출한 디지털 저장매체 원본을 반환하는 경우에는 반출 원본 저장매체 인수증을 작성하도록 하여야 한다.

⑦ 수사관은 제11조에 따라 디지털 데이터를 압수한 경우에 압수증명서 및 상세목록의 교부를 제12조제1항에 따라 작성한 전자정보 확인서 교부로 갈음할 수 있다.

⑧ 그 외 압수 · 수색 · 검증과 관련된 서류의 작성은 범죄수사규칙(경찰청훈령 제774호)의 규정을 준용한다.

제13조(임의제출) 

① 피압수자가 임의로 제출한 디지털 데이터의 압수에 관하여는 제11조를 준용한다. 이 경우 수사관은 제11조제2항 또는 제11조제3항의 사유가 없더라도 피압수자의 동의가 있으면 각 해당 규정에서 정하는 방법으로 압수할 수 있다.

② 제1항의 경우 해시값 확인, 참여권 고지, 확인서 작성 등에 관하여는 제12조의 규정을 준용한다. 다만, 전자정보 확인서는 전자정보 확인서(간이)로 대체할 수 있다.

③ 피압수자가 임의로 제출한 디지털 저장매체 자체의 압수에 관하여는 제11조의2의 규정을 준용한다.

제1장 총칙

제1조(목적) 

이 규칙은 디지털 증거의 수집, 운반, 분석 및 보관 등 전 과정에서 디지털 증거분석관 및 수사관이 준수하여야 할 기본윈칙 및 업무처리절차를 규정함으로써 인권을 보호하고 실체적 진실의 발견에 기여함을 목적으로 한다.

제2조(정의) 이 규칙에서 사용하는 용어의 뜻은 다음과 같다.

1. "디지털 데이터"란 전자적 방법으로 저장되어 있거나 네트워크 및 유 · 무선 통신 등을 통해 전송 중인 정보를 말한다.
2. "디지털 저장매체"란 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장매체를 말한다.
3. "디지털 증거"란 「형사소송법」 제106조 및 제215조부터 제218조까지의 규정에 따라 압수한 디지털 데이터를 말한다.
4. "디지털 증거분석 의뢰물(이하 "분석의뢰물"이라 한다)"이란 범죄사실을 규명하기 위해 디지털 증거분석관에게 분석의뢰된 디지털 데이터, 복제본 또는 디지털 저장매체를 말한다.
5. "복제본"이란 디지털 저장매체 내에 들어 있는 디지털 데이터 전부를 하드카피 또는 이미징 등의 기술적 방법으로 다른 디지털 저장매체에 저장한 것을 말한다.
6. "디지털 증거분석관(이하 "증거분석관"이라 한다)"이란 제5조의 규정에 따라 선발된 자로서 분석의뢰물에 대한 증거분석 업무 및 디지털 데이터 또는 디지털 저장매체 자체에 대한 압수 · 수색 · 검증 지원 업무를 수행하는 자를  말한다.

1. 경찰 교육기관의 디지털 포렌식 관련 전문교육을 수료한 자
2. 국가 또는 공공기관의 디지털 포렌식 관련 분야에서 3년 이상 근무한 자
3. 디지털 포렌식, 컴퓨터공학, 전자공학, 정보보호공학 등 관련 분야 대학원 과정을 이수하여 석사 이상의 학위를 소지한 자
4. 디지털 포렌식, 컴퓨터공학, 전자공학, 정보보호공학 등 관련 분야 학사학위를 소지하고, 해당 분야 전문교육 과정을 수료하거나 자격증을 소지한 자

제6조(디지털 증거분석의 처리체계)

① 경찰청 사이버안전국 디지털포렌식센터는 다음 각 호의 경우 디지털 증거 분석업무를 수행한다.

1. 경찰청 각 부서에서 증거분석을 요청한 경우
2. 고도의 기술이나 특정 분석장비 등이 필요하여 지방경찰청에서 증거분석이 곤란한 경우
3. 법원, 수사기관, 중앙행정기관, 국외 기관 등에서 증거분석을 요청하고 그 정당성과 필요성이 인정되는 경우
4. 그 밖에 상당한 이유로 경찰청에서 증거분석을 하여야 할 필요성이 인정되는 경우

② 지방경찰청 사이버안전과(사이버안전과가 설치되지 않은 지방경찰청은 수사과)는 다음 각 호의 경우 디지털 증거분석업무를 수행한다.

1. 지방경찰청 각 부서 및 경찰서에서 증거분석을 요청한 경우
2. 관할 내 법원, 수사기관, 행정기관 등에서 증거분석을 요청하고 그 정당성과 필요성이 인정되는 경우
3. 그 밖에 상당한 이유로 지방경찰청에서 증거분석을 하여야 할 필요성이 인정되는 경우

제7조(다른 법령과의 관계)

경찰의 디지털 증거의 수집, 운반, 분석 및 보관 등의 업무에 대하여 다른 법령 및 규칙에 특별한 규정이 있는 경우를 제외하고는 이 규칙에 따른다.

필요실습 도구 : FTK imager, HxD, FAT32.001(손상된 파일시스템)

디지털포렌식을 진행하다보면 증거 USB를 분석하기 위해서 사본이미지를 작성하게 된다.

그런데 일부 USB에서 파일시스템이 문제가 생겨 복구가 필요한 상황이 오게되는데

그중에서 대부분의 USB 파일시스템 형식은 FAT32 파일시스템을 복구해 보도록 한다.

FTK imager를 통해 해당 이미지 파일을 열어보면 이렇게 문제가 생겨 데이터가 보이지 않는다.

HxD Tool을 열어 해당 이미지 파일을 불러온다.

섹터크기는 하드디스크/플로피디스크 (512)로 설정한다.

처음 열게 되면 이 이미지의 MBR이 가장 먼저 보여지게 된다. MBR은 대부분 섹터0에 위치해 있다.

이제 BR의 시작 주소를 먼저 찾아야 하는데

왜 이 값을 찾고 어떻게 찾는지는 FAT32 파일시스템의 구조를 알면 이해가 된다.

이부분은 http://jjinfotech.tistory.com/71 에서 확인해본다.

파티션 시작 주소를 찾아보면 그림과 같이 80 00 00 00 이라는 값을 볼 수 있다.

하지만 실제로 값을 계산할때는 00 00 00 80(16진수) 로 계산을 해야 한다.

이유는 컴퓨터는 값을 저장할때 Little Endian(리틀엔디언) 방식으로 저장을 하기 때문에

우리가 볼때와는 다르게 반대로 읽어줘야 한다.

이 16진수 값을 10진수로 변환하면 128이라는 값이 나오게 된다.

128 섹터로 이동을 해보면 BR(boot record)이 망가져있는 것을 볼 수 있다.

FAT의 경우 BR을 기준으로 6~8번 섹터에 BR의 복사본이 위치해 있다.

이 것을 이용해서망가진 BR을 복구하면 원래의 파일시스템에 접근이 가능한 것이다.

이제 128섹터를 기준으로 6번째 섹터 134로 이동을 해보면 다음과 같이 BR의 복사본을 볼 수 있다.

이제 이 값들을 복사를 한다.

그리고 다시 128 섹터로 돌아가서 붙여넣기 쓰기를 진행하면

이렇게 값들이 빨간색으로 변하면서 값을 덮어쓰게 된다.

** 만약 붙여넣기 삽입을 하게 되면 섹터가 밀려나거나 깨질 수 있고 값이 변경될 우려가 있기 때문에

붙여넣기 쓰기를 해야한다.

이제 저장을 하고 FTK Imager로 열어보면 데이터들이 보이게 된다.

** 해당 실습파일 및 내용 참조는 https://blog.naver.com/bitnang/220188715461 에서 하였으며

개인적인 공부를 위해 작성되었습니다.

필요 실습도구 : NTFS.001(실습파일), HxD, FTK Imager

이번에는 FAT32 파일시스템과 마찬가지로 

현재 윈도우에서 많이 사용중인 NTFS를 복구해보는 실습이다.

먼저 FTK Imager로 해당 파일을 열어본다.

해당 이미지는 NTFS 파일시스템으로 포맷이 되어있으며 역시나 손상이 되었기 때문에 파일들이

보여지지 않는다.

이제 파일시스템 복구를 위해 HxD 프로그램으로 해당 파일을 열어준다.

NTFS의 BR 복사본은 FAT32와는 다르게 NTFS 마지막 섹터에 위치에 저장되어 있다.

따라서 NTFS의 섹터수를 알아야할 필요가 있으며

용량 = 섹터 수 X 512 로 계산을 하면 NTFS의 용량이 나오게 된다.

BR 의 시작주소는 128에 위치해 있으며 섹터수는 102,400 이다.

이제 128섹터로 이동해서 확인을 해보면 역시나 BR깨진것을 알 수 있다.

NTFS의 경우 헤더 복사본 위치가 Partition Sector 마지막에 존재한다.

NTFS의 마지막 위치를 확인 하려면 [BR의 위치 + NTFS의 전체 섹터 크기 - 1] 을 하면 NTFS BR의 복사본이 위치하는 것을 알 수 있다.

[16진수로 계산]

80 + 00 01 90 00 - 1 = 1 907F 로 계산이 되고

[10진수로 계산]

128 + 102,400 -1 = 102527 로 계산이 된다.

이제 BR의 복사본 위치를 계산했으니 102527섹터로 이동하여 확인한다.

이렇게 BR의 복사본이 있는것이 보인다 이제 이 값을 복사하여 128섹터에 덮어쓰기를 한다.

그리고 이제 이 파일을 저장하고 FTK imager를 통해 다시 확인해 본다.

이제 보이지 않던 파일들이 보여지게 된다.

** 위의 실습파일 및 내용 참조는 https://blog.naver.com/bitnang/220188735136 에서 하였으며

제가 개인적으로 공부를 위해 실습을 한 것입니다.

디지털 포렌식을 하기 위해서는 저장매체의 파일시스템 구조를 알아볼 필요가 있다.

그리고 때로는 BR 부분이 망가져 복구를 하고 진행해야될 경우가 있다.

그렇기 때문에 이번에는 HxD  프로그램을 통해 파일시스템의 MBR 부분을 확인해보려고 한다.

FAT 파일시스템의 MBR의 다음과 같은 구조를 가진다.

이 그림중 55 AA는 매직코드 또는 Signature라고 표현을 하는데

SD카드 또는 USB에서 FAT32로 포맷을 하는 경우 [55 AA]라는 값이 설정이 된다.

그렇기 때문에 MBR 분석 중 Signature값이 55 AA가 보이면

FAT32 파일시스템으로  포맷이 된것이라고 보면 된다.

그리고 Partition의 경우 다음과 같이 table이 구성이 된다.

- Boot Flag : 부팅 가능 여부 확인(0x80 : 부팅가능, 0x00: 부팅불가능)

- Starting CHS Address : CHS 시작 주소 (Cylinder Head Sector의 약자로 물리적 디스크 접근 방식 중 하나) 파티션의 시작 주소를 의미.

- Partition Type : 파티션 타입을 의미하며 0x07이면 NTFS를 나타내고, 0x0B(CHS FAT32), 0x0C(LBA FAT32)를 의미. 0x05와 0x06은 확장 파티션

- Ending CHS Address  : CHS 종료 주소

- Starting LBA Address : LBA 시작 주소.(Logical Block Area의 약자로 CHS의 용량 한계를 극복하기 위해 사용)로 파티션 시작 섹터 번호를 의미

- Size in Sector : 파티션의 섹터 수를 의미

이제 HxD 프로그램으로 MBR의 구조를 확인해보면 다음과 같이 나온다.

[Partition 01]

-------------------------------------------------------------------

00 02 03 00 0C 61 1B 06 80 00 00 00 00 90 01 00

-------------------------------------------------------------------

* 현재 이 저장매체는  한개의 파티션만 사용

* CHS 시작 주소 : 0x02, 0x03, 0x10

* Partition Type : 0x0C (FAT32)

* CHS 종료 주소 : 0x61, 0x1B, 0x60

* LBA 시작 주소(파티션 섹터 시작 번호) : 0x00, 0x00, 0x00, 0x80 : 10진수 128

* 파티션의 섹터 수 : 0x00, 0x90, 0x01, 0x00 : 10진수 102,400

** http://yebig.tistory.com/117

** http://humanistcpu.blogspot.com/2013/10/hxd-mbrmaster-boot-record.html

Autopsy 버전은 4.3.0 버전을 기준으로 진행이 된다.

먼저 Autopsy를 실행해보면 다음과 같이 모듈이 로드 되면서 실행이 된다.

그리고 가장 먼저 나오는 창은 case 관련된 창을 맞이하게 된다.

다른 포렌식 툴 역시 마찬가지로 기본적으로 데이터를 분석하기 위해서는

케이스 생성을 먼저 하고 그 후에 데이터를 로드해서 분석하게 되는 것이다.

Create New Case : 새로운 케이스 생성

Open Recent Case : 가장 최근에 실행된 케이스 열기

Open Existing Case : 다른 케이스 불러오기 (기존에 생성했었던 케이스들을 불러올 때 사용)

처음 설치하고 나서는 최근에 실행된 케이스가 없기 때문에 Open Recent Case 는

활성화가 되어있지 않을 것이다.

새로운 케이스를 생성해보자.

Create New Case를 눌러보면 아래와 같이 케이스 정보를 입력하는 창이 나온다.

Case Name에는 우선은 임의로 생성을 하면 되고 나중에 실전에서는 사건 이름이나

기타 자신이 잘 알아볼 수 있게 이름을 생성하면 된다.

Base Directory는 케이스를 저장할 경로를 설정할 수 있는 칸이다.

** 여기서는 임의로 한글 폴더에 저장을 했지만 확인 결과 해당 케이스를 종료한 후 다시 케이스를 불러오면 에러가 발생한다. 한글로 된 폴더에서 케이스를 불러오려면 에러가 발생하게 되는것으로 보인다.

필히 영문으로 된 폴더로 지정할것 ( 예: C:\ )

Case Type은 현재는 윈도우에서 실행하는 것이라 Single-user만 선택이 된다.

리눅스에서 실행이 된다면 Multi-user도 선택할 수 있을 것이다.

(Autopsy는 리눅스 기반)

그리고 Next를 눌러주면 아래와 같이 Case number 및 examiner(조사관)를 입력하는 창이 나온다.

Case Number에는 실무에서는 사건 번호를 입력하면 될 것이고

Examiner는 사건을 조사하는 조사관(본인)을 적고 Finish를 누르면 케이스 생성이 완료된다.

(여기서는 임의로 만듦)

케이스 생성이 완료되면 이제 사본 이미지를 불러 올 수 있는 창이 나타난다.

Select data source type

데이터 소스의 타입을 선택할 수 있으며 아래와 같이 4가지로 분류된다.

Disk image or VM File (디스크 이미지 or 가상머신 파일)

Local Disk (로컬디스크)

Logical files (논리적 파일들)

Unallocated Space Image File (할당되지 않은 공간의 이미지 파일)

조사를 위해 생성한 사본이미지는 Disk image or VM File로 불러올 수 있으므로 현재는 이 상태 그대로 사용할 것이다.

이제 browse 버튼을 눌러 이미지 사본이 있는 경로를 설정해 준다.

(여기서는 실습용으로 받아뒀던 이미지가 있어서 그것을 사용했음)

그리고 밑에 Timezone을 설정할 수 있는데 이 부분은 우리가 국내에서 분석을 진행하고 있기 때문에 Asia/Seoul로 맞춰주면 된다.

(시간 설정을 잘못하면 나중에 분석시 시간이 맞지 않아 고생할 수 있다.)

ignore orphan files FAT file system 이 옵션은 FAT 파일 시스템에 고아 파일들을 무시하겠느냐는

옵션으로 일부파일이 검색은 안되지만 빠른 결과를 나타낼 수 있다.

지금은 사용할 일이 없으므로 이 부분은 넘어간다.

여기서는 사용하고자 하는 기능들을 설정할 수 있는 창이 나온다.

최근 활동 기록이나 키워드 검색, 파일 유형 식별, hash 값, 올바르지 않은 확장자 찾기 등

여러가지 옵션을 추가하거나 제외 가능하다.

Next를 누르면 이제 소스 데이터 추가가 완료 된다.

Finish 버튼을 눌러 주면 이제 데이터 사본을 확인해서 안에 어떠한 데이터들이 있는지

볼 수 있도록 도와준다.

[데이터 소스가 추가된 화면]

ios 포렌식 환경을 구축해보기 위해서 찾아보던중 Mac OS 가 필요했고 찾아보던 중

VMware 에서 Mac OS를 올리는 방법을 찾게 되었다.

http://bimmermac.com/2228 사이트를 참조하였으며 일부 안되는 부분은 구글링을 통해 해결하게 되었다.

[설치 환경]

CPU : Intel i3 - 7100U

RAM : 8GB

VMware Workstation 12 pro

[준비 사항]

VMware Workstation 12 , unlocker, macOS 10.12 Sierra.vmdk 파일

설치하기에 앞서

- VMware Workstation 12 버전 기준으로 설치를 진행하며 다른 운영체제 버전 또는

VMware 버전에 따라서 unlocker 버전도 바뀔 수 있다.

- macOS 10.12 이미지 파일은 위에 링크에서 받아서 진행 하였다.

[설치 하기]

1. 먼저 VMware를 열고 New Virtual Machine Wizard 선택 →  Typical(recommended) →

I will install the operating system later를 눌러 Guest operating system을 살펴본다.

OS 선택란에 Apple Mac OS 관련 부분이 존재하지 않을 것이며 이 부분을 추가해주기 위해서

unlocker를 이용하여 열어줘야 한다.

2. 준비된 unlocker를 한글 경로가 있는 곳이 아닌 C드라이브로 압축을 푼다.

3. unlocker 폴더를 들어가서 win-install.cmd 파일을 관리자 권한으로 실행 시켜준다.

실행을 하면 필자의 경우 아래의 불길한 메시지를 출력하면서 정상적으로 실행이 되지 않는 것이 확인되었다.

의외의 이 문제 때문에 적잖이 시간을 소비하였으며 이 문제를 해결하기 위해 구글링을 하였으며 현재 VMware의 버전과 unlocker의 버전이 호환이 안되는 것으로 보였다.

* [해결방법] *

https://github.com/DrDonk/unlocker 에 들어가서 올라와 있는 unlocker를 받아준다.

( Clone or download → Download ZIP 버튼 클릭하면 받아진다.)

밑에 readme.txt 를 보니 unlocker의 버전이 2.1버전으로 업그레이드 된 것으로 보인다.

즉 기존에 받아서 실행이 잘 되지 않았던 버전은 확인해보니 unlocker208 즉 2.08 버전인 것이고 해당 버전은 2.1인 버전인 셈이다.

다운을 받고 마찬가지로 C드라이브에 압축을 풀어주고 다시 3번의 과정을 거친다.

그러면 전에와 같은 오류가 발생하지 않고 다른 모습을 보여줄 것이다.

혹시나 만약에 패치 도중 permission 관련 에러가 나면 VMware를 완전히 종료하지 않고 패치를 해서 나는 오류이므로 필히 종료하고 다시 시도해본다.

4. 다시 1번 과정을 통해서 Guest Operating System 부분을 확인해본다.

확인해보면 이제는 Apple Mac OS X 라는 부분이 새로 추가 되었으며 version을 확인해보면

선택할 수 있는 부분들이 추가로 보인다.

5. 입맛에 맞게 Virtual machine 이름과 생성될 경로를 지정한다.

6. macOS에 사용될 디스크 용량 설정 및 가상디스크 저장 방식 선택

용량은 macOS에 필요한 최소 용량으로 설정을 하고 가상디스크 저장 방식은

Store virtual disk as a single file 로 선택을 한다.

7. 기타 하드웨어 옵션 설정

Customize Hardware... 부분은 사실 가상머신 생성 후에도 변경이 가능하므로 Finish 를 눌러준다.

8. 다운받은 macOS 가상이미지 파일 옮기기

다운받아 놓은 macOS 10.12 버전 가상이미지를 생성된 가상머신 경로로 옮겨준다.

기존 macOS 10.12.vmdk는 지우고 다운받은 이미지를 macOS 10.12.vmdk 로 이름을 바꿔준다.

(깔끔해 보이기 위해)

9. 추가 설정 작업

이렇게 가상머신이 생성이 되었으며 1번 과정에서 I will install the operating system later 옵션을 선택하고

세팅을 진행하였기 때문에 OS가 설치되어있지 않은 빈 PC라고 생각할 수 있다.

제대로 된 macOS를 사용하려고 하면 추가적으로 설정이 필요하다.

Edit virtual machine settings 버튼을 눌러보자.

1) Memory 는 4G(본인 PC사양에 맞게 설정)

2) Processors 4개(Memory와 마찬가지)

8번 작업을 완료하였으면 Hard Disk 부분에 기존 40G → 79GB로 변경이 되어있을 것이다.

설정을 완료하고 OK를 누른다.

10. 실행하기(오류 발생시 해결방법 포함)

이제 Power on this virtual machine을 눌러서 실행을 해보자.

대게 아래와 같은 에러가 발생한다.

이 에러를 없애려면 2가지 방법이 있다.

핵심 옵션은 smc.version = "0" 이다.

1) vmware에 config.ini 설정파일에서 맨 밑부분에 위 옵션을 입력하고 저장

2) macOS 가상머신 이미지 있는 경로 ex) macOS 10.12.vmx 에 위 옵션을 입력하고 저장

1) 에 구문을 추가하는 것은 VMware 전체에 적용되는 것이며

2) 에 구문을 추가하는 것은 macOS 가상머신 쪽에만 적용한다는 뜻으로 볼 수 있다.

선택은 알아서 하면 되고 VMware를 킨 상태에서 진행할 경우 문제가 발생할 수 있기 때문에 VMware를 종료하고 진행하자.

<첫번째 방법>  

메모장을 관리자 권한으로 실행한 후 열기를 클릭한다. (검색에서 메모장 검색 후 오른쪽 마우스로 클릭하면 관리자 권한 창이 나온다.)

C:\ProgramData\VMware\VMware Workstation 경로를 입력하고 파일이름 옆에 형식을 모든파일(*.*) 형식으로 변경하면 config.ini 파일이 보이는데 열어준다.

위 빨간줄 친 것처럼 옵션을 적어주고 저장한다.

** 관리자 권한으로 실행하지 않을 경우 저장이 안되고 다른 이름으로 저장이 된다.

<두번째 방법>

macOS 가상머신이 설치되어있는 경로로 향한다.

macOS 10.12.vmx를 오른쪽으로 클릭하고 연결 프로그램을 메모장으로 설정한다.

마찬가지로 맨 아래줄에 smc.version = “0” 을 적어주고 저장한다.

그리고 다시 macOS 를 동작시키면 이런 창이 뜰 수도 있으나 그냥 yes를 눌러준다.

그러면 애플 로고를 만날 수 있다.

이제 macOS 설정하고 사용하면 된다!!!

디지털포렌식 전문가 2급 실기를 치고 동일한 환경 구성을 위해

Autopsy 4.5.0 버전을 설치하였으나 프로젝트를 생성하고 Add Data Source 를 누르면

소스 추가하는 창이 나오지 않고 프리징 되는 현상 발생

< 테스트 환경 >

노트북

운영체제 : Windows 10 pro

CPU : Intel I3-7100U 2.40GHz

RAM : 8GB

< 추가 테스트 환경 >

VMWare Workstation 12

운영체제 : Windows 7 Home Basic K

<테스트 계획>

여러 버전의 Autopsy를 설치 하였으나 정상동작 되는 버전은 4.3.0 버전이였음

다른 호환되는 버전을 찾아보기 위해 4.3.0 부터 4.6.0(최신)버전까지 모두 설치하고

실행해볼 계획

1. 테스트 진행할 프로그램 버전 수집

4.3.0, 4.4.0, 4.4.1, 4.5.0, 4.6.0 버전까지 프로그램을 다운받았다.

2. 각각 설치

4.3.0 부터 4.6.0 버전까지 모두 설치해봤다.

3. 프로젝트 생성 후 Add Data Source 진행해보기

(프로젝트 이름은 테스트를 위해서 123으로 생성)

1) 4.3.0 버전

정상적으로 source를 추가할 수 있는 창이 뜬다.

2) 4.4.0 버전

Add Data Source 을 누르면 마우스에서 읽고 있는 상태는 나오지만 더이상 창이 생성되지 않는다.

3) 4.4.1 버전

동일한 증상이 발생한다.

4) 4.5.0 버전

5) 4.6.0 버전

** 가상머신 (윈도우7)에서도 동일한 증상이며 일단은 해결하기전까지

4.3.0 버전으로 사용해야 될 것 같다.

** 4.3.0 버전과 이후 버전에서 차이점은 없는지

오류가 발생하지는 않았는지 로그 및 확인이 필요할것 같다.

• 혹시나 위와 동일한 증상이 있으나 해결하신분은 댓글 부탁드릴께요^^