제이제이 IT 스토리

필요 실습도구 : NTFS.001(실습파일), HxD, FTK Imager

이번에는 FAT32 파일시스템과 마찬가지로 

현재 윈도우에서 많이 사용중인 NTFS를 복구해보는 실습이다.

먼저 FTK Imager로 해당 파일을 열어본다.

해당 이미지는 NTFS 파일시스템으로 포맷이 되어있으며 역시나 손상이 되었기 때문에 파일들이

보여지지 않는다.

이제 파일시스템 복구를 위해 HxD 프로그램으로 해당 파일을 열어준다.

NTFS의 BR 복사본은 FAT32와는 다르게 NTFS 마지막 섹터에 위치에 저장되어 있다.

따라서 NTFS의 섹터수를 알아야할 필요가 있으며

용량 = 섹터 수 X 512 로 계산을 하면 NTFS의 용량이 나오게 된다.

BR 의 시작주소는 128에 위치해 있으며 섹터수는 102,400 이다.

이제 128섹터로 이동해서 확인을 해보면 역시나 BR깨진것을 알 수 있다.

NTFS의 경우 헤더 복사본 위치가 Partition Sector 마지막에 존재한다.

NTFS의 마지막 위치를 확인 하려면 [BR의 위치 + NTFS의 전체 섹터 크기 - 1] 을 하면 NTFS BR의 복사본이 위치하는 것을 알 수 있다.

[16진수로 계산]

80 + 00 01 90 00 - 1 = 1 907F 로 계산이 되고

[10진수로 계산]

128 + 102,400 -1 = 102527 로 계산이 된다.

이제 BR의 복사본 위치를 계산했으니 102527섹터로 이동하여 확인한다.

이렇게 BR의 복사본이 있는것이 보인다 이제 이 값을 복사하여 128섹터에 덮어쓰기를 한다.

그리고 이제 이 파일을 저장하고 FTK imager를 통해 다시 확인해 본다.

이제 보이지 않던 파일들이 보여지게 된다.

** 위의 실습파일 및 내용 참조는 https://blog.naver.com/bitnang/220188735136 에서 하였으며

제가 개인적으로 공부를 위해 실습을 한 것입니다.

Autopsy 버전은 4.3.0 버전을 기준으로 진행이 된다.

먼저 Autopsy를 실행해보면 다음과 같이 모듈이 로드 되면서 실행이 된다.

그리고 가장 먼저 나오는 창은 case 관련된 창을 맞이하게 된다.

다른 포렌식 툴 역시 마찬가지로 기본적으로 데이터를 분석하기 위해서는

케이스 생성을 먼저 하고 그 후에 데이터를 로드해서 분석하게 되는 것이다.

Create New Case : 새로운 케이스 생성

Open Recent Case : 가장 최근에 실행된 케이스 열기

Open Existing Case : 다른 케이스 불러오기 (기존에 생성했었던 케이스들을 불러올 때 사용)

처음 설치하고 나서는 최근에 실행된 케이스가 없기 때문에 Open Recent Case 는

활성화가 되어있지 않을 것이다.

새로운 케이스를 생성해보자.

Create New Case를 눌러보면 아래와 같이 케이스 정보를 입력하는 창이 나온다.

Case Name에는 우선은 임의로 생성을 하면 되고 나중에 실전에서는 사건 이름이나

기타 자신이 잘 알아볼 수 있게 이름을 생성하면 된다.

Base Directory는 케이스를 저장할 경로를 설정할 수 있는 칸이다.

** 여기서는 임의로 한글 폴더에 저장을 했지만 확인 결과 해당 케이스를 종료한 후 다시 케이스를 불러오면 에러가 발생한다. 한글로 된 폴더에서 케이스를 불러오려면 에러가 발생하게 되는것으로 보인다.

필히 영문으로 된 폴더로 지정할것 ( 예: C:\ )

Case Type은 현재는 윈도우에서 실행하는 것이라 Single-user만 선택이 된다.

리눅스에서 실행이 된다면 Multi-user도 선택할 수 있을 것이다.

(Autopsy는 리눅스 기반)

그리고 Next를 눌러주면 아래와 같이 Case number 및 examiner(조사관)를 입력하는 창이 나온다.

Case Number에는 실무에서는 사건 번호를 입력하면 될 것이고

Examiner는 사건을 조사하는 조사관(본인)을 적고 Finish를 누르면 케이스 생성이 완료된다.

(여기서는 임의로 만듦)

케이스 생성이 완료되면 이제 사본 이미지를 불러 올 수 있는 창이 나타난다.

Select data source type

데이터 소스의 타입을 선택할 수 있으며 아래와 같이 4가지로 분류된다.

Disk image or VM File (디스크 이미지 or 가상머신 파일)

Local Disk (로컬디스크)

Logical files (논리적 파일들)

Unallocated Space Image File (할당되지 않은 공간의 이미지 파일)

조사를 위해 생성한 사본이미지는 Disk image or VM File로 불러올 수 있으므로 현재는 이 상태 그대로 사용할 것이다.

이제 browse 버튼을 눌러 이미지 사본이 있는 경로를 설정해 준다.

(여기서는 실습용으로 받아뒀던 이미지가 있어서 그것을 사용했음)

그리고 밑에 Timezone을 설정할 수 있는데 이 부분은 우리가 국내에서 분석을 진행하고 있기 때문에 Asia/Seoul로 맞춰주면 된다.

(시간 설정을 잘못하면 나중에 분석시 시간이 맞지 않아 고생할 수 있다.)

ignore orphan files FAT file system 이 옵션은 FAT 파일 시스템에 고아 파일들을 무시하겠느냐는

옵션으로 일부파일이 검색은 안되지만 빠른 결과를 나타낼 수 있다.

지금은 사용할 일이 없으므로 이 부분은 넘어간다.

여기서는 사용하고자 하는 기능들을 설정할 수 있는 창이 나온다.

최근 활동 기록이나 키워드 검색, 파일 유형 식별, hash 값, 올바르지 않은 확장자 찾기 등

여러가지 옵션을 추가하거나 제외 가능하다.

Next를 누르면 이제 소스 데이터 추가가 완료 된다.

Finish 버튼을 눌러 주면 이제 데이터 사본을 확인해서 안에 어떠한 데이터들이 있는지

볼 수 있도록 도와준다.

[데이터 소스가 추가된 화면]

디지털포렌식 전문가 2급 실기를 치고 동일한 환경 구성을 위해

Autopsy 4.5.0 버전을 설치하였으나 프로젝트를 생성하고 Add Data Source 를 누르면

소스 추가하는 창이 나오지 않고 프리징 되는 현상 발생

< 테스트 환경 >

노트북

운영체제 : Windows 10 pro

CPU : Intel I3-7100U 2.40GHz

RAM : 8GB

< 추가 테스트 환경 >

VMWare Workstation 12

운영체제 : Windows 7 Home Basic K

<테스트 계획>

여러 버전의 Autopsy를 설치 하였으나 정상동작 되는 버전은 4.3.0 버전이였음

다른 호환되는 버전을 찾아보기 위해 4.3.0 부터 4.6.0(최신)버전까지 모두 설치하고

실행해볼 계획

1. 테스트 진행할 프로그램 버전 수집

4.3.0, 4.4.0, 4.4.1, 4.5.0, 4.6.0 버전까지 프로그램을 다운받았다.

2. 각각 설치

4.3.0 부터 4.6.0 버전까지 모두 설치해봤다.

3. 프로젝트 생성 후 Add Data Source 진행해보기

(프로젝트 이름은 테스트를 위해서 123으로 생성)

1) 4.3.0 버전

정상적으로 source를 추가할 수 있는 창이 뜬다.

2) 4.4.0 버전

Add Data Source 을 누르면 마우스에서 읽고 있는 상태는 나오지만 더이상 창이 생성되지 않는다.

3) 4.4.1 버전

동일한 증상이 발생한다.

4) 4.5.0 버전

5) 4.6.0 버전

** 가상머신 (윈도우7)에서도 동일한 증상이며 일단은 해결하기전까지

4.3.0 버전으로 사용해야 될 것 같다.

** 4.3.0 버전과 이후 버전에서 차이점은 없는지

오류가 발생하지는 않았는지 로그 및 확인이 필요할것 같다.

• 혹시나 위와 동일한 증상이 있으나 해결하신분은 댓글 부탁드릴께요^^

1. 다운로드 경로

Autopsy는 https://www.sleuthkit.org/autopsy/ 사이트에서 받을 수 있으며

들어가면 다음과 같은 화면이 보인다.

Download Now를 누르면 다운받을 수 있는 링크로 들어가진다

2. 다운받기

들어가면 현재 2018.04.20 일 기준으로 최신버전은 4.6.0 버전인 것을 볼 수 있다.

최신버전을 다운받으려면 자신의 PC 운영체제 아키텍처 버전에 맞게 다운받으면 되며

이전 버전을 받고 싶을때는 아래의 이미지를 보고 들어가면 된다.

먼저 설치를 위해 최신버전을 받아보도록 하겠다.

파일의 크기는 492MB 이며 네트워크 환경과 국외 서버에서 받아와서 그런지 350~400kb/초

정도의 속도가 나온다. 다 받아질때까지 천천히 기다려 준다.

3. 설치하기

파일이 다 받아지면 설치화면이 등장한다.

Next를 눌러주면 설치할 경로를 확인하는 창이 나온다.

본인이 다른 경로에 설치를 하고자 하면 설치하고자 하는 경로를 입력하고

기본으로 설치를 하려면 Next를 누르면 된다.

경로 설정으로 하고나서 Install을 누르면 설치가 된다.

Autopsy는 별도의 추가 설치나 옵션들 필요없이 일반적인 프로그램 인스톨 하듯이

간단하게 설치가 가능하다.

설치가 완료되면 이렇게 도베르만(?!) 처럼 생긴 아이콘이 생성되면서 Autopsy 설치가

완료 된다.

Autopsy는 사전적인 의미로는 (사체) 부검, 검시라는 뜻을 가지고 있다.

Autopsy는 Linux 시스템에서 사용할 수 있는 오픈소스 기반 포렌식 프로그램으로 잘 알려진 sleuth Kit를 Windows 시스템에서 GUI 형태로 이용할 수 있도록 개발된 오픈소스 기반 무료 포렌식 프로그램이다.

Autopsy는 2000년경에 발표된 TCT(The Coroner’s Toolkit)을 기반으로 계속 개발이 이루어져 최근 Autopsy 4.x 단위의 버전에서는 포렌식 조사자가 동일한 사건을 동시에 공동 작업하고 Python 스크립트를 작성하여 기능을 확장할 수 있는 기능까지 제공하고 있다.

Windows와 Linux/UNIX를 비롯한 OS X, Android 등 다양한 운영체제의 파일시스템 내용을 분석할 수 있으며, 검색 및 타임라인 분석, 해쉬 필터링 등의 기능을 제공한다.

그리고 기능 확장을 위한 Add-On 모듈 지원을 통해 Project VIC 및 C4P와 같은 데이터베이스를 통합하여

분석을 하거나 비디오 분석모듈 등의 기능을 추가할 수 있다.

그리고 (사)한국포렌식학회에서 주관하는 디지털포렌식전문가 2급 실기시험에서

EnCase와 더불어 사용되는 Tool로 기억된다.

나는 FTK Tool을 공부하고 시험장에 갔었는데 제공되는

Tool에서는 FTK는 제공되지 않아 당황했었던 적이 있다.

EnCase의 경우 상용 소프트웨어에 다뤄볼 기회도 없었으며

Autopsy또한 Tool을 다룰줄 모르는 상태로 시험을 진행하게 되었는데

이때 EnCase, Autopsy 두가지 Tool을 사용해본 결과

나는 Autopsy가 조금 더 인터페이스 측면에서 보기가 편했으며

다양한 기능들이 제공되었던 것으로 기억된다.

[Autopsy 실행화면]

이제 Autopsy 툴을 다운로드 및 설치 그리고 개인적으로 Tool을 공부해보고자 한다.

FTK imager 로 사본 이미지를 생성시 디렉토리에 이미지 파일 외 csv, txt 파일이 생성된다.

[csv 파일 내용]

파일이름, 절대경로, 파일 사이즈(bytes), 생성 시간, 수정된 시간, 접근 시간, 삭제 유무가 엑셀파일로 되어있다.

실제 현장에서는 압수한 USB에서 피의자가 중요 파일을 삭제를 했는지 언제 생성되었고 언제 수정이 되었는지를 표에서 참조할 수 있을 것이다.

[txt 파일 내용]

txt파일의 내용은 FTK imager로 사본 이미지를 생성할때 입력했던 사건 번호, 사건 정보 같은 내용을 담고 있으며 물리적인 디스크의 모델, 일련 번호 같은 내용이 담겨져 있으며, 해시값 검증 결과 같은 것들이 담겨있다.

따라서 해당 내용들을 토대로 나중에 보고서를 쓸때 유용할 것이다.

FTK imager 는 AccessData 사에서 만든 이미지 사본 생성 도구이다.

디지털포렌식 수사를 할때  USB, 하드디스크 같은 매체의 무결성을 위해서 원본으로 조사를 하지 않고

사본 이미지를 만들어서 조사를 하게 되는데 이 때 필요한 도구이다.

그리고 삭제된 데이터 복원도 가능하다.

[USB 메모리 사본 이미지 생성방법]

- 작업환경 : Windows10, 16Gb 메모리, FTK imager 4.1.1.1(한글버전)

FTK imager를 열고 파일 -> 디스크 이미지 작성을 누른다.

소스 선택창이 나오는데 물리적 드라이브, 논리적 드라이브, 이미지 파일 등 몇가지 종류가 나오는데

USB메모리를 이미지 생성할 것이기 때문에 물리적 드라이브를 선택하고 다음을 누른다.

인식된 USB 메모리를 선택하고 완료를 눌러준다.

이렇게 하면 바로 작업이 완료되지는 않고 이미지 유형을 선택 등 몇가지를 추가해야

작업을 완료할 수 있는데 이미지 대상 아래에 추가 버튼을 눌러준다.

이미지 유형 선택창이 나오게 되며 4가지 원시(dd), SMART(S), E01(E), AFF 방식을 선택할 수 있는데

보통은 E01 방식을 많이 사용하므로 E01을 선택하고 다음을 눌러준다.

(상황에 따라서는 원시(dd)방식을 사용해야할 경우도 있음.)

그 다음은 증명 항목 정보가 나오는데 이 부분은 지금은 그렇게 중요한 부분이 아니므로 알아서 적는다.

(실제 현장에서는 현장에 맞게 작성)

이미지 대상 선택 창이 나오면 이제 이미지 파일을 저장할 곳, 이미지 파일의 이름을 지정하게

되고 이미지 대상 폴더에는 저장될 폴더를 선택하고, 이미지 파일 이름은 각자 알아서 정하면 된다.

(아래의 추가 옵션을 선택해서 이미지 단편화 크기나 압축방식 등을 지정해서 할 수도 있으며

여기서는 기본을 사용한다.)

이제 완료를 누르게 되면 이미지 대상에는 경로가 지정이 되고 위에서는 활성화 되어있지

않던 시작 버튼이 활성화 되면서 이제 이미지 생성을 할 수 있게 된다.

시작 버튼을 누르면 이렇게 이미지 생성 창이 보이면서 진행이 된다.

16GB USB를 기준으로 1분 30초 정도 걸렸다.

디스크의 용량이 더 크다면 작업시간이 더 오래걸릴 것이다.

이제 생성이 완료되면 확인결과 창이 뜨고 해시값을 확인하여 동일한지 체크를 하여 출력해준다.

이제 USB메모리의 디스크 이미지 사본 작성은 완료되었으며 이제 USB를 제거해도 상관이 없다.

분석은 이 사본으로 하게 될 것이기 때문에…

제대로 생성되었는지 확인해보자.

설정한 디렉토리로 가서 확인을 해보면 이렇게 이미지 사본 파일과

USB안에 데이터 정보들이 담겨있는 csv 파일 그리고

USB메모리에 대한 정보가 담겨있는 txt 파일도 생성이 되어있다.

[생성된 사본 이미지 확인하기]

FTK imager에서 파일 -> 증명 항목 추가 선택

선택하면 이미지 생성때와 마찬가지로 소스 선택 창이 나오는데

이제는 물리적인 디스크가 아닌 이미지 파일을 선택한다.

이미지 파일의 경로를 선택하고 완료를 누른다.

완료를 누르게 되면 이제 이렇게 USB에 담긴 정보들을 볼 수 있게 된다.

왼쪽 창은 윈도우 탐색기 처럼 트리 형식으로 디렉토리를 출력해주며

파일목록에서는 어떠한 파일들이 있는지 보여주며 삭제된 파일들은 X로 표시가 된다.

FTK imager를 이용한 USB 메모리 이미지 사본 생성 완료!!!

1. 전자적 증거의 의의와 특성

[의의]

전자적 증거는 전자적 형태로 유통되거나 저장되어 있는 데이터로 사건의 발생 사실을 입증하거나 반박하는 정보 또는 범행 의도나 알리바이와 같은 범죄의 핵심요소를 알 수 있는 정보를 간직하고 있다.

전자적 증거에 관한 국제 조직 IOCE(International Organization on Computer Evidence)에서는 “2진수 형태로 저장 혹은 전송되는 것으로서 법정에서 신뢰할 수 있는 정보”라 하고, 전자적 증거에 관한 과학실무 그룹 SWGDE(Scientific Working Group on Digital Evidence)에서는 “디지털 형태로 저장 전송되는 증거가치 있는 정보”라 하고 있다.

<전자적 증거의 구분>

[전자적 증거의 특성]

1) 매체독립성

전자적 증거는 ‘유체물’이 아니고 각종 디지털 저장매체에 저장되어 있거나 네트워크를 통하여 전송 중인 정보 그 자체를 말한다. 즉, 전자적 증거는 매체와 독립된 정보 내용이 증거로 되는 특성을 지니고 있다.

2) 비가시성, 비가독성

디지털 저장매체에 저장된 전자적 증거 그 자체는 사람의 지각으로 바로 인식할 수 없고, 반드시 일정한 변환절차를 거쳐 모니터 화면으로 출력되거나 프린터를 통하여 인쇄된 형태로 출력되었을 때 비로소 가시성과 가독성을 지니게 된다. 예를 들어 종이 문서의 경우 이를 제시하는 방법으로 곧바로 시현해 보일 수 있는데 반하여, 전자적 증거의 경우 컴퓨터 하드디스크를 제시하는 것만으로는 증거 내용을 인지할 수 없고, 그 내용을 판별해서 모니터 상에 나타나게 하거나 인쇄를 통하여 제시될 때 비로소 가시성 * 가독성을 가지게 된다.

3) 변경 * 삭제의 용의성(취약성)

전자적 증거는 삭제 * 변경 등이 용이하다. 하나의 명령만으로 하드디스크 전체를 포맷하거나 특정 파일을 삭제할 수도 있다. 또한 특정 워드 파일을 열어보는 것만으로도, 비록 의도하지 않았더라도 파일 속성이 변경된다.

반면 압수 * 수색하는 과정에서 피압수자가 관련 정보를 삭제할 우려도 있으므로 이에 예방하기 위한 신속한 조치가 필요하다. 또한 작동중인 컴퓨터에서 전원을 Off하면 저장되지 않은 정보, 인쇄출력중인 정보 등은 삭제되므로 사진촬영 해 놓지 않으면 증거로 사용할 수 없게 될 수도 있다.

긴급보전의 필요성에서 상당한 방법으로 사진 촬영하는 것은 적법하다는 것이 판례의 입장이다.  

4) 대용량성

저장기술의 비약적 발전으로 인하여 방대한 분량의 정보를 하나의 저장매체에 모두 저장할 수 있게 되었다. 회사의 업무처리에 있어서 컴퓨터의 사용은 필수적이고, 회사의 모든 자료가 컴퓨터에 저장된다. 그 결과 수사기관에 의하여 컴퓨터 등이 압수되는 경우 그 업무수행에 막대한 지장을 받게 된다.

5) 전문성

디지털 방식으로 자료를 저장하고 이를 출력하는데 많은 컴퓨터 기술과 프로그램이 사용된다. 전자적 증거의 수집과 분석에도 전문적인 기술이 사용되므로, 전자적 증거의 압수 * 분석 등에 있어 포렌식 전문가의 도움이 필수적이다. 여기에서 전자적 증거에 대한 신뢰성 문제가 대두된다. 특히 전문조사관의 증언능력, 사용된 포렌식 도구의 신뢰성이 문제된다.

6) 네트워크 관련성

현재의 디지털 환경은 각각의 컴퓨터가 고립되어 있는 것이 아니라 인터넷을 비롯한 각종 네트워크를 통하여 서로 연결되어 있다. 전자적 증거는 공간의 벽을 넘어 전송되고 있는데, 그 결과 국내의 토지관할을 넘어서는 법집행을 어느 정도까지 인정할 것인지의 문제와 국경을 넘는 경우 국가의 주권문제까지도 연관될 수 있다.

[전자적 증거의 진정성]

1) 원본성(Best Evidence)

전자적 증거는 그 자체로는 가시성, 가독성이 없으므로, 가시성 있는 인쇄물로 출력하여 법원에 제출할 수 밖에 없다. 미국에서는 “서면, 녹음, 사진의 내용을 증명하기 위해 다른 법률에 의하지 아니하고는 원본에 의하여 입증되어야 한다.”는 최량증거원칙(The Best Evidence Rule)이 확립되어 있다.

2) 동일성(무결성, Authenticity)

전자적 증거는 다른 증거와 달리 훼손 * 변경이 용이한 특성으로 인하여 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 한다. 현재 국내 수사기관에서는 전자적 증거의 무결성을 증명하기 위하여 하드디스크 등의 저장매체를 압수한 다음 피압수자의 서명을 받아 봉인하고, 서명, 봉인과정을 비디오카메라로 녹화하고 있다.

3) 신뢰성(Reliability)

전자적 증거는 수집에서 분석까지의 모든 단계에서 신뢰할 수 있어야 한다. 우선 전자적 증거를 수집하고 분석하는데 사용되는 하드웨어 및 소프트웨어의 신뢰가 이루어져야 한다.

만일 소프트웨어를 통해 분석한 결과가 매번 다르다면 그 소프트웨어를 통해 나온 결과를 신뢰할 수 없을 것이다.

다음으로는 전자적 증거를 수집 * 분석하는 사람이 전문적인 지식을 갖추고 있어야 한다는 것이다. 전자적 증거를 수집 * 분석에 따른 결과는 분석하는 하드웨어나 소프트웨어 보다는 분석하는 자의 전문성에 따라 분석 결과의 수준이 차이가 있을 수 있기 때문이다.

우선 전자적 증거를 수집 * 분석하는데 사용되는 컴퓨터는 정확하고, 프로그램은 신뢰할 수 있어야 한다.