인프런 커뮤니티 질문&답변

안녕하세요 인프런최고님!

그 파일을 추적을 해보셨군요!

사실 list.torrent 파일은 실수로 들어간 파일입니다;

원래대로 하면 torrent 공유 기록까지 남겨서 그 내용까지 분석을 해보는걸 의도했었는데,
알 수 없는 이유로 파일 공유가 정상적으로 이뤄지지 않아서 해당 기록을 못남기고, 파일이 문제인가 싶어
동일한 공유파일을 list2.torrent 파일로 만들어서 다시 해봤는데 역시 문제가 있어서
더 늦어지면 안될 것 같아 결국 토렌트 공유 기록 없이 토렌트 파일만 만드는것으로 마무리 했습니다.

풀이영상에서 해당 부분에 대해서 list.torrent 파일은 실수이니 신경쓰지 마시라고 말씀드릴까 하다가
그런식의 낚시용 파일들도 있을수 있을것 같아서 그냥 따로 설명 안드리고, 누군가는 추적해보실것 같다 생각했는데 추적을 해보셨네요!!

list.torrent, list2.torrent 파일은 제가 외부에서 생성한 후에 해당 파일을 가상머신에 단순 복사하는 형태로 진행을했는데, list.torrent 파일을 휴지통에 넣은 후 휴지통을 비웠습니다.

말씀하신것처럼 NTFS LOG Tracker를 이용해서 추적해보면 처음에는 list.torrent 파일이 생성이 된 것을 확인할 수 있고

그 뒤로는 휴지통에 들어가면서 '달러' I 파일과 '달러' R파일로 나누어진 것을 확인할 수 있습니다
($ 삽입시에 화면이 이상하게 보일수 있어서 한글로 표기하겠습니다~)

파일명은 같은데 앞에 달러IZ42HMH.torrent / 달러$RZ42HMH.torrent 인데
이 파일들은 파일의 원 내용을 담은 파일과 파일의 메타정보를 담은 파일로 나눠져서 저장된다 생각해주세요.

그 뒤로 휴지통을 비우면서 2개의 달러 파일들이 삭제됐음을 알수 있습니다.

가장 궁금해하시는 부분은 Autopsy에서의 삭제된 파일로 잡히지 않는 점과,
복구가 불가능한지 여부이실것 같습니다.

아시겠지만 우선 파일을 삭제한다는 것은, 우리가 특정파일을 선택후 delete 키를 누르거나 삭제 버튼을 클릭한다고 바로 삭제가 되진 않습니다.
원 파일은 그대로 유지를 하지만 파일의 한 부분에 '삭제한 파일'이라는 표식만 남겨놓는건데,
나중에 다른 파일을 저장할때 삭제됐던 파일이 차지하고 있던 곳에 새로운 파일을 저장할 경우 삭제된 파일은 '삭제된 파일'이라는 표식이 있으니 그곳에 덮어써도 괜찮다는 의미로 전달되어
그 위치에 파일을 덮어쓰게 되면 원래의 파일이 정말 삭제되는 방식입니다.

삭제된 파일이 분석프로그램에서 잡히지 않는 이유는 여러가지를 생각을 해봐야하는데

1) 우선 분석프로그램(encase, autopsy 등)마다 이렇게 삭제된 파일의 탐지/ 복구해내는 정도가
조금씩 차이가 있을수 있고

2) 실습 시나리오의 경우 용량을 조금이라도 줄이기 위해 가상머신 생성시에 디스크 용량을 최소화하다
보니 그런 이유로 삭제된 파일이 덮어써졌을 가능성도 있습니다.

3) 참고로 파일이 휴지통에 들어간 뒤 휴지통 비우기를 하지 않았다고 해도, 휴지통의 보관되는 용량을
작게 설정했을 경우에는 직접 휴지통 비우기를 하지 않아도 용량을 넘어서면 순차적으로 휴지통 안에
있던 파일들을 비우는 기능도 있습니다.

Autopsy 에서 탐지/복구를 못했다고해도 다른 방법으로 가능한 경우들도 있으니 참고해주세요~
다만 시험을 봐야하는 상황을 생각해 봤을때 Autopsy에 안나오는 내용을 다른 방법으로 찾아야하는 정도의 문제가 나오진 않을테니(시험상 정말 중요한 파일이라면 시험용 시나리오를 만들고 검증을 하면서 Encase나 Autopsy나 양쪽에서 모두 찾을수 있게 만들어야할테니까요) 너무 걱정하지 않으셔도 됩니다!

나중에 시간이 될때 휴지통에 들어간 파일의 변화에 대한 영상을 준비해도록 하겠습니다 !