인프런 커뮤니티 질문&답변
작성한 질문수
SHA-1 해쉬값 확인방법(Autopsy에서)
해결된 질문
작성
·
1.5K
1
요즘 매일 귀찮게 질문을 드리는것 같습니다.
Encase, KFOLT가 없다보니. 출간한 책에 있는 문제를
풀다가 제한되는 사항이 있네요..
오늘은 SHA-1값 해쉬값을 찾을라고 AUTOPSY에서
할라고 하나 MD5, SHA-256만 검색하는 값이 있네요..
AUTOPSY에서 SHA-1값을 확인할수 없겠죠?
다른 대안은 없나요?
답변 2
0
0
안녕하세요 mmshk1님!
말씀하시는 부분이 문제에서 'Sha-1 해시값이 *********인 파일을 찾고, 그 파일의 특정정보를 기술하라' 이런 형태의 문제를 해결해야하는 경우를 말씀하시는거죠?
우선 말씀하신 것처럼 Autopsy에서는 MD5와 SHA-256 2개의 해시값을 보여주고 있습니다. 저도 조금 찾아보기는 했는데 SHA-1값은 보여주지 않는 것 같습니다.(4.20.0 버전 기준이며, 예전버전에서는 나왔는지는 모르겠네요) 조금 더 알아보고 방법이 있다면 따로 다시 말씀드리겠습니다.
그와 별개로 우선 시험을 보셔야하니, 다른 방법을 알려드릴게요. 조금 귀찮으실수도 있는데,
문제가 Sha-1 hash값을 주고 그 파일을 찾아라 라는 내용일 경우
1) FTK Imager에서 해당 이미지(e01 또는 복구를 했다면 001 파일)를 불러온 후
2) 한 개의 파티션을 선택 하여 마우스 오른쪽 > 'Export File Hash List' 클릭
※ 파티션이 여러개인경우 파티션별로 반복
3) hash 리스트 파일이 저장될 위치와 파일명 설정 후 저장(.csv 로 저장됩니다)
4) 생성된 .csv파일을 열면 아래와 같은 화면을 보실수 있으며, 우선 Sha-1 Hash값이 주어졌으니
엑셀에서 필터를 활성화 시키고 정렬한뒤에 (혹은 직접 검색하셔도 됩니다) 주어진 해시값을 찾고
그 해시값을 갖는 파일의 파일명과 저장위치, MD5 hash값을 확인하신 다음에
5) Autopsy에서 해당 파일을 찾아서(파일검색 또는 MD5 해시값으로 검색, 저장위치로 바로 가서 찾기 등)
MD5값이 엑셀에서 봤던 값과 동일한지 최종 확인한 후 그 파일에 대해서 필요한 내용들을 기술하시면 됩니다.
6) 보고서상에 캡처파일과 찾는 과정 등을 쓰실경우에는 'autopsy에서는 Sha-1 Hash값을 확인할 수 없어서 FTK Imager로 해시값을 산출 후에 Sha-1 해시값이 *******인 파일을 확인할 수 있었다.' 라는 내용과 .csv 파일에서 해당 파일을 찾은 내용을 캡처해서 붙여주시면 더 좋겠죠.
문제가 '특정 파일에 대해서 Sha-1 해시값을 구해라'일 경우
이런 문제는 거의 없을것 같긴한데, 혹시나 해서 말씀드립니다.
autopsy에서 특정파일이 있는데 그 파일의 Sha-1 해시값을 구하라고 했을경우라면
앞에서 생성했던것처럼 FTK Imager에서 찾고자 하는 파일이 저장된 파티션의 해시리스트를 만드신 후에, autopsy에서 확인한 그 파일의 MD5 해시값을 엑셀에서 검색한 뒤, sha-1 hash값을 확인하시면 될 것 같습니다.
귀찮지 않습니다! 궁금하신게 있으시면 언제든지 부담 갖지 말고 질문 주세요~ :)
혹시 ftk imager에서 선택 후 마우스 우클릭 하실때, partition 1 등으로 나와있는 파티션 부분 선택하셨을까요? 올려드린 캡쳐 파일 보시면 partition 1 아래에 나오는 볼륨(ntfs1이라는 볼륨)을 선택후 우클릭 하셔야 되거든요. 혹시 그렇게 하셨을까요?