디지털 포렌식 기법: FTK Imager & Autopsy 실습

디지털 포렌식 기법

이번 포스팅에선 디지털 포렌식을 위한 유용한 도구인 FRK Imager와 Autopsy의 실습을 진행해 본다.

 

 쓰기 방지 장치 설정

포렌식 수행에 앞서 증거 훼손을 방지하기 위해 '쓰기 방지'를 설정한다.

 

실행 > regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control > StorageDevicePolicies 디렉터리 생성

'WriteProtect'생성 > 우클릭 '수정' > 값데이터를 1로 수정

USB 드라이브 꽂고 read/write 기능을 테스트 > USB 내부에 새폴더 생성 불가 (Read only)

 

---

 

 FTK Imager 포렌식 이미지 생성

이미징 대상 저장매체의 Unallocated 용량까지 모두 복제한다.

 

- 파일 형식

 Raw Data(dd):  저장공간의 처음부터 끝까지 처리하기 때문에, 중간 지점 문제 발생 시 역추적이 곤란하다. (비추천)

 E01 : Meta Data와 CRC로 이루어진 Block을 반복해 읽기때문에, 중간 지점 문제 발생 시 검사가 용이하다. (주로 사용)

 EX01: E01에 암호기능 추가

 

선택된 대상 파일에 대하여 블락(구분 단위)을 약 1.5G로 분할 압축레벨은 6으로 지정한다

 

참조) 다른 이미지 생성 방법으로 Netcat, dd 등이 있지만, 있다는 것만 알아두자

 

---

 Autopsy 이미지 분석

무료 오픈소스이며 FTK보다 더 다양하고 상세한 분석 툴을 제공한다.

 

 

분석 폴더 생성

: 사건(케이스) 폴더는 포렌식의 원칙에 따라 시스템 드라이브와 분리한다. 시스템 오류 발생으로 인해 포렌식 자료에 대한 피해 가능성을 최소화하기 위함이다. 물리적으로 어렵다면, 논리 파티션이라도 분리를 해야 한다.

 

사건(Case)별로 경로를 지정해 모아준다.

케이스 파일 속 자동으로 생성된 디렉토리

 

분석대상 선택

 

 

분석 툴 선택

실습에선 Hash테이블을 이용한 Hash값 검색 기능을 선택하였다.

 

 - 해쉬 셋 생성

 

 - Notable hash set 입력 및 검색

92bb2e9aa28542c685c59efcbac2490b
cd47548a52b02d254bf6d7f7a5f2bfd3
0290945054b80ff4ca100cbde2a4afba
fe968eb85fb8a2e5df6af311423bee16
3d0b9ea79bf1f828324447d84aa9dce2

 

 - 검색 완료

해당 이미지에서 Hash set에 의해 발견된 파일은 총 3개이다.

 

특정 파일 추출

분석 이미지의 특정 프로그램을 로컬 드라이브로 추출한다. 우클릭 > Export

추출된 파일의 경로를 확인한다. C:\Users\user\Desktop\수업자료\Autopsy_case1\Case1\Export

 

 - 추출 파일 분석 (Hash값 확인)

추출후 HashMyFiled을 이용해서 MD5 및 SHA1 확인 가능하다.

 

- 이미지의 추출 파일 목록

분석대상 이미지의 파일 목록을 .csv 파일 형식으로 저장한다. 추후 추출된 파일의 경로를 쉽게 파악할 수 있다.

 

 - 목록 확인

목록과 더불어 MFT변경시간 및 MAC시간 확인 가능하다.

 

이미지의 실행파일 찾기

: 실행파일은 이름 그대로 executable (실행 가능한) 파일로서 주로 확장자. exe,. dll,. ocx로 끝나는 파일이 이에 속한다. 여기서. exe와. dll은 동일한 파일 포맷을 갖는다는 특징이 있다. 차이점은 두 파일의 entry point(실행 시 처음 읽는 위치)가 다르다는 점이다. dll은 독립적인 실행이 어렵고 ntdll.dll이 dll을 실행시켜준다.

 

이미지의 경로에서 실행파일 (.exe, .dll)을 확인

 

 - exe파일 시그니처

(좌) exe (우) dll 두 시그니처는 모두 동일하다.

 

이미지 파일 마운트 (Image Mount)

: 분석 대상 이미지 파일을 마운트 하여 OS에서 직접 핸들링할 수 있다.

 

 

File > image mounting (설치 요구되는 파일 설치)

그 후 sysinternals의 Autoruns.exe 실행 (악성코드 유무 분석)

 

해당 이미지가 로컬의 E 드라이브로 설정되었다.

 

 

---

추가 실습 예정

실습 2 (악성코드가 자주 사용하는 레지스트리 경로)

drive10.E01에 “Autoruns”로 스캔한 후 어떤 악성코드가 발견되는지 확인

 

HCU\SOFTWARE\Microsoft\CurrentVersion\Run 에 있는 항목들을 확인

실제 경로 - 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\System\CurrentControlSet\Services 에서 실행되는 서비스의 목록도 확인