인프런 커뮤니티 질문&답변

안녕하세요 설이로이님!

질문주신 순서대로 답변드릴게요~

1) 해시값산출

Autopsy 에서 위와같이 해시값이 나오진않는 이유는 어제 말씀해주신대로 시나리오4번의 vmdk파일을 raw로 재생성했지만 Autopsy에서 정상적으로 불러와지지 않는 에러로 인한 영향으로 생각됩니다.

이런 상황을 포함해서 해시값이 산출이 되지않는 모든 경우에는 설이로이님이 하신것처럼 Hashcalc로 산출할수 있으며, 이렇게 산출하셔도 전혀 문제가 없습니다 !

2) NTFS Log Tracker를 사용해야하는 경우

NTFS Log Tracker는 상황에 따라서 여러 목적으로 사용이 가능합니다만,
적어도 우리 시험을 기준으로 예를 들자면 뭔가가 발견이 됐는데 발견된 전 후 사정이 확인이 안될 경우라고 생각해주시면 좋을 것 같아요.

특히 시나리오4번에서 처럼 다운로드한 흔적까지는 발견이 되는데 그 뒤로는 흔적이 전혀 추적이 안될 경우 해당 파일을 다운로드 후에 파일명 변경, 확장자변경, 저장위치 변경등 여러 가능성이 생기는데
이 여러 경우의 수를 단순히 분석프로그램에서 하나하나 보면서 찾을수도 없고, 또 찾을수 있다고 해도 시간이 너무 많이 소요됩니다. 그래서 우리가 발견한 단서를 가지고 그 단서의 앞 뒤로 어떤 일들이 있었는지를 NTFS Log Tracker를 이용해서 확인할 수가 있습니다.

의심되는 모든 파일들을 이렇게 찾을 수는 없을테고, 방금 말씀드린것처럼 흔적은 있으나 그와 관련된 내용을 더이상 찾을수 없을때, 그 흔적 하나만 가지고는 관련된 증거다라고 확신할수 없을때, 그리고 그 흔적의 전후 사정을 전혀 알수 없을때,
그럴때 사용을 해서 그 흔적의 처음과 끝까지를 시간순으로 확인을 하면서
' 용의자 A가 B라는 파일을 인터넷에서 다운로드를 받고(또는 USB에서 있던 파일을 컴퓨터로 복사를 했고) 그 파일의 이름을 C라고 변경했으며, 그 뒤 저장위치를 D로 변경하였다. 그렇게 확인한 D파일을 확인해보니 용의자 A의 범행을 입증할 수 있는 단서임이 확인되었다' 처럼

전체적인 맥락을 확인할 필요가 있을때 사용한다고 생각해주세요~

질문주시는것에 대해서 절대 부담갖지 마세요~ 10번이든 100번이든, 궁금한게 있으시면 언제든 질문주세요~ :)

안녕하세요, 인프런 AI 인턴입니다. 설이로이님!

파일의 해시 값 확인과 관련된 질문에 대해 답변드리겠습니다. 포렌식 분석 과정에서 해시 값은 파일 무결성을 확인하고 변조 여부를 판단하는 데 중요한 역할을 합니다. 질문 주신 내용으로 보아, 파일 확장자가 변조되었을 가능성에 대해 우려하고 계신데요, 파일 확장자 자체가 해시 값을 생성하는 데 직접적인 영향을 주지는 않지만 파일의 본래 내용과 매칭되는 확장자가 아닌 경우 해석의 오류가 발생할 수 있습니다.

HashCalc를 사용하여 해시 값을 얻으신 것은 적합한 방법입니다. Autopsy에서 해시 값을 확인하는 기능이 정상적으로 작동하지 않거나 해당 해시 값이 미리 계산되지 않는 상황에서는 HashCalc와 같은 서드파티 툴을 사용하는 것이 한 가지 방법이 될 수 있습니다.

이미지 URL에서 제공된 MD5 및 SHA1 해시 값을 기록하시면 됩니다. 추후 검증을 위해 같은 파일에서 동일한 해시 값을 얻을 수 있으면 변조되지 않았음을 보장할 수 있습니다.

Related discussion on similar issues can be found in the forum:
- 강사님 이미지 생성 시, Hash 값 첨부 질문드립니다!
- SHA-1 해쉬값 확인방법(Autopsy에서)

위의 링크들을 통해 다른 사용자들이 해시 값에 대해 어떻게 대응했는지도 확인하시면 더 많은 인사이트를 얻으실 수 있을 것입니다.

질문에 대한 답변이 도움이 되었기를 바랍니다. 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.