해결된 질문
23.10.27 15:40 작성
·
452
0
안녕하세요! AUTOPSY로 학습간 질문이 있어서 문의드립니다.
1. Run Ingest Module - Extension mismatch Detect에서
Skip files without extensions + Skip known files이 결과값에 미치는 영향과 체크를 해제할 필요는 없을까요?
Skip files without extensions은 직관적으로 이해가 되는데 Skip knoww files의 의미를 잘 모르겠습니다.
2. Run Ingest Module - Keyword Search 에서
현재 최신 버전(4.21.0)에는 Add text to Solr Index 라는 체크하는 곳이 생겼습니다.
이거를 체크해야 키워드 서칭이 되는 것 같은데, 강의에는 없는 내용이다 보니 질문드립니다.
3. ftk imager에서 Recovered라고 뜨는 파티션의 경우 Encase에서는 프로그램 내부에서 별도의 작업을, Autopsy에서는 추가적인 작업은 필요없다고 하셨지만, 실제 hxd로 복구해보려면 어떻게 해야할까요?
시나리오2 기준으로 3번 파티션의 스타팅 섹터와 섹터수를 16진수 값으로 변경해서 넣어보고 encase에서 열어봣는데 그것만으로는 되는 것 같지 않아서 문의드립니다.
답변 2
0
2023. 10. 28. 12:48
답변 감사합니다.
3번 질문 관련해서는 hxd를 이용해 직접 수정한 후에는 FTK Imager에서 열어보니 [Recovered] 문구가 사라져서 당연히 encase에서도 추가적인 작업없이 될거라고 생각했는데, 그렇지 않아서 궁금했습니다.
공부하다보니 시험과는 크게 상관없는 이런저런 궁금증이 생겨서 질문드려봤네요...ㅎㅎ
0
2023. 10. 28. 00:34
안녕하세요 blue님!
질문하신 순서대로 답변 드릴게요~
[Run Ingest Module] - [Extension Mismatch Detect]에서
[Skip Files Without Extensions] 옵션과 [Skip Known Files] 옵션과 관련해서 먼저 두 옵션이
의미하는 것을 말씀드리겠습니다.
1) Skip Files Without Extensions : 이해하신것으로 보이는데, 해석하면 확장자가 없는 파일은 탐지를 하지 않는다 정도겠죠?
대부분의 파일이 확장자(file.txt / file.xlsx / file.jpg 등)를 갖지만, 이러한 확장자가 없는 파일( 'file')의
경우에는 보여주지 않는 옵션입니다.
체크 할 경우 : 확장자없는 파일은 분석결과에 보여주지 않음.
체크해제할 경우 : 확장자 없는 파일이라도 분석결과에 보여줌.
2) Skip Known Files : '알려진 파일은' 탐지하지 않는 옵션.
여기에서 '알려진 파일'이라는게 어떤건지 궁금하셨을거예요.
이 부분은 [Run Ingest Module] 창에서 [Hash Lookup]과 관련이 있습니다.
[Hash Lookup] 모듈은 기본적으로 이미지안의 파일들에 대한 해시값을 산출하는 기능과 함께
분석관이 이미 알고 있는 특정한 해시값들을 [Hash Lookup] 모듈 설정에서 Hash Set 으로 등록해서
해당 해시값과 관련된 정보 등을 쉽게 확인할 수 있는 기능이 있는데, 이때 등록한 "알려진(알고있는)"
해시값이 [Skip Known Files]에서 의미하는 '알려진'이라는 말이라고 생각해주세요.
정리하면, [Hash Lookup] 모듈에서 특정한 해시값을 등록을 했고,
[Extension Mismatch Detect] 모듈의 [Skip Known Files] 옵션을 체크했다면,
그 특정한 해시값을 갖는 파일 A가 확장자변조등이 탐지가 되었어도 우리에게 알려주진 않는 옵션이다
라고 생각하시면 됩니다.
체크 할 경우 : 해시값을 등록한 경우, 해당 해시값을 갖는 파일에 대해서는 분석결과에 보여주지 않음
체크해제 할 경우 : 해시값에 등록한것과 상관없이, 확장자변조가 탐지됐다면 분석결과에 보여줌.
2. [Run Ingest Module] - [Keyword Serch]에서 [Add Text to Solr Index] 옵션
Autopsy에서는 키워드 검색과 관련하여 Solr Indexing과 In-Line Keyword Search 라는 2가지 유형을
제공합니다.
Solr Index : 처음 분석을 할때, 이미지 안의 모든 파일 안에 있는 텍스트들을 확인해서 색인을 해놓는
방법으로 분석완료후에 분석관이 특정한 키워드를 찾고 싶을 경우 검색하면 색인된 정보를 바탕으로 검색한
키워드가 포함된 결과를 빠르게 보여줍니다. 단점으로는 전체파일을 한번 스캔해야하다보니 분석시간이
늘어납니다.
In-Line Keyword Search는 처음 분석시(Run Ingest Modules 창) [Keyword Search] 모듈의
[Global Settings]에서 찾고자 하는 키워드를 미리 등록해놓을 수 있는데, 분석이 완료되면 등록한 키워드
를 포함한 파일들을 보여주게 되며, 단점으로는 분석 전 등록한 키워드 외에 추가적으로 다른 키워드를
검색할 경우 처음 등록한 키워드들을 포함한 파일에 한해서 제한적으로 검색이 가능하게 됩니다.
확 와닿지 않으니 예를 들어서 설명드릴게요.
- 이미지 파일 안에 a.hwp 라는 파일과 b. txt 라는 파 딱 2개만 있는데
a.hwp 파일의 내용이 '포렌식 forensic' 이라는 텍스트만 포함되어있고
b.txt 파일의 내용은 '오톱시 autopsy' 라는 텍스트만 있다고 가정을 할게요.
1) 분석을 위해서 [Run Ingest Modules] - [Keyword Search] 모듈에서 [Add Text to Solr Index]옵션을
체크한 경우(Global Settings에서 키워드를 별도로 추가하지 않음)
- 분석 완료 후 Autopsy 우측 상단의 [Keyword Serach] 기능을 이용해서
'포렌식', 'forensic'을 검색하면 > 'a.hwp' 확인가능
'오톱시', 'autopsy'를 검색하면 > 'b.txt' 확인가능
✅ [Add Text to Solr Index] 옵션을 체크하면 모든 파일의 텍스트를 미리 읽어서 색인하기때문에
특정키워드를 포함한 파일에 대해서 언제든 검색이 가능!
2) 분석을 위해서 [Run Ingest Modules] - [Keyword Search] 모듈에서 [Add Text to Solr Index]옵션을
체크하지 않은 경우(Global Settings에서 'forensic' 이라는 키워드를 등록함)
- 분석 완료 후 Autopsy 우측 상단의 [Keyword Serach] 기능을 이용해서
'포렌식', 'forensic'을 검색하면 > 'a.hwp' 확인가능
'오톱시', 'autopsy'를 검색하면 > 해당 키워드를 포함한 파일 확인불가!
✅ [Add Text to Solr Index] 옵션을 체크해제하고 특정 키워드만 미리 등록해놨다면,
등록한 키워드를 포함한 파일들만 색인을 하고, 그 파일들에 대해서는 다른 키워드 포함여부를
확인할 수 있지만, 그외의 파일들에 대해서는 검색 불가!
이해가 되셨을까요? 시간이 조금 들더라도 미리 다 스캔해놓고 나중에 편하게 찾을것인지,
아니면 우선은 필요한 키워드만 등록해서 빠르게 진행할것인지의 차이라고 생각하시면 편하실것 같아요.
강의에서 이 옵션에 대해서 따로 설명드리지 않는 이유는,
입문강의이다보니 이런 하나하나의 옵션을 배우는게 오히려 부담스러울수 있고, 헷갈릴수도 있어서
제외를 시켰습니다. 기본값이 사용함(체크)되어있어서 이 옵션을 어떻게 해야할지 모르셔도 검색을 하실수가
있으니까요. 물론 시간적인 면을 생각하면 필요한 키워드만 넣어놓고 옵션을 끄고 할수도 있겠지만
시나리오를 보고 키워드를 딱딱 뽑아내기에는 처음 입문하시는 분들 입장에서는 어려울수 있거든요.
그래서 시간이 조금 더 걸리더라도 처음에 색인을 해놓고, 그 시간에 법이론 문제 등을 풀 시간을 만드는
목적이기도 하고요(물론 지난 시험에서는 법이론이 한 문제도 출제되지 않는 특이한 상황이긴 했지만요)
3. FTK Imager에서 [Recovered]라고 확인되는 볼륨의 직접 복구
FTK Imager에서 [Recovered]로 확인되는 볼륨은 해당 볼륨의 BR이 훼손된것이 아닌
MBR의 파티션 테이블에 문제가 있는 경우죠?
단순히 얘기하면 훼손된 파티션 테이블만 정상적으로 수정을 해주면 복구가 가능한데,
이게 제대로 하자면 꽤 깊게 들어가는 내용입니다.
아마 시나리오 3번의 dd파일을 FTK Imager로 열어보면 3번 볼륨이 [Recovered]로 확인이 되며,
이 [Recovered] 볼륨을 복구하기 위해서 HxD를 이용하여 말씀하신 것처럼 파티션 테이블 구조인
[1/3/1/3/4/4] 중 마지막 [4/4] LBA Address와 총 섹터수를 입력하신 뒤에 저장하시면
우선은 FTK Imager에서 [Recovered]가 아닌 정상 볼륨으로 인식이 됩니다.
[왼쪽 : 훼손 전 정상 이미지파일 / 오른쪽 : 훼손된 이미지 파일의 MBR 파티션테이블 수정 후]
[박성민의 usb.001 : 훼손된 이미지 / 박성민의usb-수정.001 : 파티션테이블 수정한 이미지]
제가 이렇게 수정한 이미지를 Encase에서 돌려 본 적이 없어서(현재 Encase 사용을 더이상 할 수가 없어서 확인이 어렵네요 ;) 어떻게 나오는지에 대해 말씀드리기는 어려운 점 죄송하게 생각합니다.
다만 LBA 어드레스와 총 섹터수를 정확하게 잘 수정했음에도 Encase에서 제대로 인식이 안된다면
수정하지 않은 나머지 훼손된 부분에 대해서도 수정을 진행해보셔야 할 것 같습니다.
위의 경우 아직 훼손되어있는 부분이 1(부트플랙)/3(CHS 시작주소)/1(파일시스템)/3(CHS 종료주소)
4곳이 남아있는데, Encase에서 정상인식이 되려면 모두 다 복구를 해야하는지, 아니면 4개 중 일부만 복구해도 되는지에 대해서는 정확하게 모르겠지만, 이 부분을 제대로 알고 복구를 하기 위해서는 조금 깊게 들어가는 부분이여서
강의에서는 다루지 않았습니다.
2급시험에서 다루기에는 조금 무리가 있다고 생각한 점도 있고요(물론 20회시험이 그런 생각들을 뒤집어 놓기는 했습니다만...)
그리고 여기에 답변을 드리기엔 설명할 내용이 너무 많아서... 이렇게 마무리 해야할 것 같습니다.
혹시 파티션테이블의 일부를 복구한 이미지(encase에서 정상인식 안된다고 하신 그 이미지)를
FTK Imager에서도 열어보셨을까요?
만약 FTK Imager에서도 여전히 [Recovered] 또는 뭔가 정상인식이 안되고 이상하다면
LBA 어드레스와 총 섹터수를 수정하실때 "빅엔디언'으로 입력한 건 아닌지 확인 한번 해보시는 것도 좋습니다.
2023. 10. 29. 02:10
아 이미 FTK Imager에서 확인해보셨군요! 저도 그렇게 해볼 생각을 못해봐서 궁금하긴 하네요 ^^; 어떤 질문이든 언제든 부담없이 질문주세요 :)