인프런 커뮤니티 질문&답변
작성한 질문수
비트락커 파일시스템 인식 불가
해결된 질문
작성
·
106
1
강사님 안녕하세요
비트락커 강의 수강하는데 문의가 있습니다.
강의 내용대로 비트라커 마운트 > 암호해제 > 피지컬 드라이브 raw파일 생성 했는데, 동 파일을 ftk에서 읽으면 여전히 인식이되지 않습니다. 제가 어느부분에서 놓친건지 이해가 잘 안되서요 ㅜ
복호화 파일 찾은 방법이 궁급합니다. 강의에서 말씀해주신 내용을 정리하면 시험에서 제공받은 이미지에서 삭제된 파일 내 dll 파일에서 복호화키를 찾은것 같습니다
그럼 시험에서 제공받은 이미지를 그대로 autopsy에 불러서 분석내역 중 delete 파일 조회가 가능하였다는 걸까요?? 비트라커로 암호화되어 있어 분석이 되지 않을 것으로 판단되는데 햇갈려서요.
dll 파일을 찾은 방법에 대해 다시한번 설명해주시면 감사하겠습니다~!
답변 1
0
안녕하세요 dodo님!
질문해주신 순서대로 답변을 드릴게요.
1) 복호화 후 이미징을 해도 파티션 인식 불가 문제
복호화 후에 다시 이미징을 하실때 소스(원본)을 Physical drive가 아닌 Logical Drive로 선택해주세요. 이 부분은 처음 강의 영상 올린 후에 문제가 있는 점을 확인해서 강의 영상 하단의 수업노트보기에 안내를 하긴했었는데, 수업노트보기가 눈에 잘 안 띄는 곳에 위치하고 있다보니 확인을 못하신것 같습니다 ㅜ_ㅜ
빨리 영상을 수정했어야하는데 그렇게 하지 못해서 불편을 드린 것 같아 죄송합니다.
이 답변 드린 후에 바로 수정한 영상을 바로 업로드할 예정이며, 바로 반영이 되긴 하겠지만
기존 영상기록이 남아있어서 변경된 영상을 보시기까지는 약간의 시간이 소요될수도 있으니
내일쯤 확인해보시면 좋을것 같습니다.
수정한 영상에서도 Physical과 Logical Drive로 이미징시에 나오는 부분에 대해서 잠깐 설명을 드리긴했는데, 정확히 어떠한 이유로 physical 이미징시에 문제가 되는지는 아직은 파악이 되지 않은 상태입니다. 우선은 Logical로 이미징하시고 FTK Imager에서 확인주세요 :)
2) 복호화 파일을 찾는 방법
이게 참 정답이 없습니다. 비트라커 강의에서는 20회 시험을 보신 분 들의 후기를 바탕으로 복호화 키를 찾은 방법을 말씀을 드렸는데, 아시는것처럼 dll 파일 에서 확인할 수 있었다고 합니다.
윈도우즈 휴지통에 삭제된 2개의 .dll 파일이 존재했고, 그 중 하나의 dll 파일에 비트라커 복호화 키가 들어있었다고 합니다.
다만 세부적인 내용까지는 확인이 어려워서 제 추측으로는
# 원래는 텍스트(.txt, 강의 영상에서 보이는 복호화 키가 담긴 텍스트 파일)파일인데 확장자 변조를 한 뒤 삭제한 dll 파일일 경우
#실제 dll 파일인데 파일 내부에 복호화키를 삽입해둔 경우(hex뷰로 봤을때 문자열)
이렇게 2 경우가 우선 생각이 되는데, 추측으로는 아마 첫번째 경우였지 않을까 조심스럽게 생각해봅니다.
20회 시험에서는 위와 같이 출제가 되었는데, 복호화키를 어떻게 저장해서 보여줄지는 출제자의 생각에 달린 문제이기때문에 복호화키임을 알수 있는 특징이 있다기 보다는
파일명이 '비트라커', '복구키', '복호화키', 복호화키의 문자숫자나열 등이 있는지
파일확장자가 .txt이거나 기타 문서유형인지
저장위치가 휴지통에 들어가있거나, 바탕화면이거나, 기타 눈에 띄는 폴더에 있는지
눈에 띄는 위치에 저장되어있으나 확장자가 일반적이지 않은 경우, hex뷰의 문자열에 있는건 아닌지
정도를 보고 의심이 가는 파일을 열어서 보는 방법밖에 없습니다.
다만 20회 시험의 경우 '휴지통' 에 2개의 파일만이 있었기때문에 그나마 눈에 띄는 경우였던것 처럼
휴지통, 바탕화면, 내문서, 다운로드폴더 등은 조금 더 집중적으로 보시는게 좋습니다.
답변이 되셨을지 모르겠습니다. 궁금하신점이 있으시면 언제든지 질문주세요 :)
dodo님!
제가 다른걸 설명하느라 정작 질문주신 그 내용을 빼먹었네요;
네 맞습니다!
암호화가 되어있는 볼륨안에 복구키가 있다면 확인이 불가능하기때문에, 생각하신것처럼
암호화된 1번 볼륨이 있고, 그에 대한 복구키는 암호화되지않은 2번 볼륨에 있는 구조입니다.
예전에는 단 1개의 USB를 제공하거나, 그에 대한 1개의 이미지 파일을 제공했는데,
최근 시험에서 나오는 구조로 봤을때,
1번 : 윈도우즈가 설치된 볼륨에 대한 이미지(암호화)
2번 : 별도의 USB에 대한 이미지
이렇게 2개의 이미지를 제공하거나, 아니면 직접 이미징을 하거나 하는 형태로
이 경우 1번 이미지는 암호화가 되어있고, 암호화되지 않은 2번 USB(또는 볼륨)에 1번 암호화에 대한 복구키나 단서를 제공하는 형태가 될것 같습니다.
여기에서 조금 더 변형을 하자면
1개의 이미지인데, 그 안에 파티션을 나눠서
1번 파티션 : 윈도우즈 설치, 암호화
2번 파티션 : 일반 데이터 볼륨, 비암호화 > 복구키 등 저장
이런 형태로도 나올수도 있을것 같습니다~
아 강사님 먼저 상세한 답변 감사합니다.
복호화 파일 찾는 방법에서 제가 궁금했던 점은 비트라커 암호화 걸려있는 상태에서는 autopsy에서 휴지통도 안에 있는 파일도 조회가 안됬을텐데 어떻게 그 파일을 찾았는지 궁금했었습니다
혹시 이미지를 2개(비트라커 적용/미적용 각 1개씩) 제공받아 타 이미지(비트라커가 적용되지 않은 이미지)에서 비트라커 암호 파일을 찾았다고 보면 되는걸까요??