인프런 커뮤니티 질문&답변
작성한 질문수
강사님 비트라커 실습 질문드립니다!
해결된 질문
24.06.15 17:10 작성
·
190
0
다름이 아니라 비트라커가 시나리오상 적용되어 있는 이미징이 있다고 가정하면, 비트라커 이미지 원본 자체도 증거 무결성이 유지되어야 한다고 생각하는데, FTK Imager에서 Mount Image To Drive로 마운트 할 때, Mount Method를 Block Device / Read Only (기본값)으로 설정하여 적용해서 마운트 한 뒤, 복호화 키를 사용해서 비트라커 매체에 접근이 가능해진 상태에서는 BitLocker 끄기를 하면 읽기 전용 매체라는 팝업이 나오고 꺼지지 않습니다
즉, 해당 비트라커가 적용된 이미지의 BitLocker를 끄려면 FTK Imager에서 마운트 할 때 애시당초 Read Only가 아닌, Block Device / Writable 상태에서 마운트 후, 복구 키로 락을 풀고서 비트라커 기능을 끈 후, 이미징을 해야 정상적으로 내용이 출력되더라구요
이런 경우 제가 잘 몰라서 읽기 전용이 아닌 쓰기 가능으로 설정한 상태로 마운트를 해야하나요? 아니면 비트라커가 적용된 증거 이미지를 복사 후, 해당 원본은 두고 복사된 파일을 가지고 수행해야하나요?
답변 3
0
2024. 06. 17. 19:46
안녕하세요 꾸기님!
원인을 찾으셨다니 다행입니다 ㅎㅎ
추가로 질문 주신 내용에 대해서 답변을 드리자면
말씀하신 것처럼 Autopsy에서는 Keyword Search 기능이 있지만 Hex 값을 검색하는 기능은 없습니다.
그런 기능을 지원하는 추가적인 모듈이 있다고는 하지만, 실제 시험장에서는 해당 모듈을 추가로 설치해서 제공하지 않기도 하고, 또 개인적으로 설치를 하는 것도 불가하기 때문에 큰 의미는 없을 것 같습니다.
그래서 대안을 말씀드리면,
말씀해주신 시나리오에서 Egg 분할 파일이 총 4개인데, 분할 압축파일 1번과 4번은 확인이 되지만
2번 3번은 파일명이나 확장자 등을 바꿔서 은닉한 형태로 보입니다.
기본적으로 autopsy에서는 hex 값 검색을 지원을 하지 않지만 약간의 수고(?)를 하면 가능은 합니다.
autopsy의 키워드 서치 기능은 문자열을 대상으로 검색을 하기 때문에 이 점을 이용해서
찾고자 하는 확장자의 시그니처(문자열)을 확인 후에 그 문자열로 검색을 해보는 방법입니다.
예를 들어서 Egg 파일의 경우 Signature를 확인해보면
Hex : 45 47 47 41 ~ / 문자열 : EGGA ~ 으로 확인이 됩니다.
문자열이 'EGGA' 인 것을 확인했으니 저 키워드로 검색을 해보면 되겠죠?
(물론 EGG 파일이 아닌 다른 파일들도 저 키워드가 들어가있다면 결과에 같이 나오겠지만
문자열의 위치 등을 확인하면 충분히 구분이 됩니다!)
아래는 제가 테스트로 autopsy 설치파일을 egg 형식으로 분할 압축을 했습니다.
그 중 2번과 3번은 임의로 확장자를 변경을 해놓은 상태입니다.
위의 예시는 일부러 파일명을 동일하게 했기때문에 바로 눈에 띄지만, 만약 파일명도 변경하고 저장된 위치도 변경한 경우 분할 압축 파일을 찾기가 쉽지가 않을텐데, 이럴때는 찾고자하는 확장자의 시그니처, 정확히는 문자열을 확인한다음 키워드검색 메뉴에서 해당 문자열로 검색을 해보세요.
검색결과 위의 화면처럼 문자열에 'EGGA'라는 내용이 포함된 파일들을 결과로 보여줄텐데,
위의 예시는 4개의 파일만 넣은 상태라서 어려움이 없지만 실제로는 전혀 상관없는 파일들도 검색에 걸릴 가능성이 높습니다. 그럴때면 해당 파일의 Hex값을 확인해서
1) 문자열이 파일의 최상단에 위치하는지(중간에 해당 문자열이 들어갔다면 시그니처가 아닌 일반 데이터겠죠.)
2) 해당 파일이 이미 분할 압축된 파일로 확인된 파일(위의 예에서는 vol1.egg와 vol4.egg)과의 용량이 동일한지(분할압축 파일의 마지막 파일이라면 용량이 다른 파일보다 적거나 같을테고, 마지막 파일이 아니라면 동일할테니까요)
이런 점들을 고려해서 찾으시면 조금 더 쉽게 찾으실수 있습니다.
조금 귀찮긴해도, 그리 복잡하거나 어렵지 않아서 조금만 응용을 하시면 될것 같습니다~ :)
0
2024. 06. 16. 17:01
안녕하세요 꾸기님!
질문주신 가장 큰 이유는 복호화한 볼륨을 이미징하였을때, 해당 이미지를 FTK Imager 등으로 열어서 접근하려 했으나 접근이 불가능한(처음 암호화 상태처럼) 문제가 있어서 이실까요?
먼저, 다른 부분은 별론으로 하고 마운팅을 위해서 불러올때 Block Device / Writable 옵션으로 불러온다는것은
말 그대로 쓰기가능상태가 될테니 아시는 것처럼 불러오는 이미지가 변경될 가능성이 있습니다.
그래서 그 상태로 분석이 진행을 해야한다면, 말씀하신대로 이미지의 또 다른 사본을 가지고 마운팅을 시키는게 안전합니다 !
무결성 유지를 위한 내용은 이미 잘 아시는것 같아서 추가로 설명 드리지 않아도 될것 같습니다 !
그런데 문제는, 제가 가장 먼저 여쭤본 내용인데요
만약 제가 강의에서 말씀드린 방법,
원본 USB를 이미징
이미지한 파일을 FTK Imager에서 Mounting(Block Device / Read Only (기본값))
마운팅 된 볼륨들을 확인하여 비트라커로 암호화된 볼륨을 복호화
복호화한 볼륨의 접근이 가능해짐
분석프로그램을 이용한 추가 분석을 위해서 또는 다른 이유(복호화된 볼륨을 이미징하여 제출해야하는)로
이미징이 필요할 경우 FTK Imgaer에서 복호화된 볼륨을 Logical로 이미징Logical 로 이미징한 복호화 볼륨을 FTK Imager 등에서 확인했을때 복호화된 상태로 접근 가능함을 확인
대략 이런 순서인데, 6번 이미징한 복호화 볼륨의 이미지 파일을 FTK Imager등에서 불러왔을때 정상적으로 접근이 되지 않고, 처음 암호화되어있던 상태처럼 보여서 질문을 주신게 아닐까 싶습니다.
(정확한 전후 사정을 모르다보니 제가 추측을 해본건데, 조금 더 정확한 상황을 말씀해주시면 도움이 될것 같습니다)
그래서 저도 다시 한번 테스트를 해봤습니다.(혹시라도 제가 잘못알고 있는 내용도 있을수 있으니까요)
우선 결과를 말씀을 드리면, 강의 영상에서 진행한 위의 순서로 복호화 후 로지컬 이미징하여 생성된
이미지 파일을 FTK Imager나 autopsy 등의 분석프로그램에서 열어봤을때 복호화된 상태로 정상적으로 접근이 되는것을 확인했습니다.
물론 처음 마운팅시에는 Block Device / Read Only 로 진행을 했으며,
윈도우즈 버전에 따른 차이가 있을수도 있다고 생각해서 복호화후 이미징한 파일을 복사하여 win10, win11에서 각각 열어봤을때도 정상적으로 접근이 가능했습니다.
그래서 꾸기님이 질문주신 의도가, 위와 같은 방법으로 진행을 했으나 복호화 후에 이미징한 파일을 열어보니 정상적으로 접근이 안되는 문제때문에 비트라커를 완전히 끈 후에 이미지하기 위해서 쓰기가능상태로 마운팅을 하시려고 했고, 또 그러다보니 쓰기가능에 따른 사본 이미지가 변할 수 있는 상황이 우려되어 말씀을 해주신것라면,
우선은 복호화 후 이미지에 정상접근이 불가능한 이유를 먼저 찾아봐야할것 같아요.
USB의 사본 이미지를 추가로 복사해서 쓰기가능상태로 마운팅한 후 비트라커 암호화 볼륨을 복호화하고 그 뒤 비트라커를 아예 끈 뒤에 이미징을 하면 가장 깔끔하긴 하겠지만, 시험에서는 시간이 조금 더 걸리는 부분이고
과정이 추가되어있다보니 실수할 가능성도 더 생기고, 이렇게 하는 목적이 결국 복호화 후 생성한 이미지가 정상적으로 보이게 하기 위한 것일 경우에는 어떻게보면 불필요한 과정일수도 있어서,
우선은 어떠한 순으로 진행을 하셨는지 말씀해주시면 저도 다시 테스트해보고 원인을 찾아보도록 하겠습니다!
2024. 06. 16. 22:57
강사님 확인해보니 제가 순서를 최초에 실습자료로 제공해주신 bitlocker.E01 파일을 우선적으로 raw파일로 생성하지 않고서 진행하다보니 생긴 문제였습니다.
- 시간 단축에 신경을 쓰다보니 제가 순서가 엉키면서 혼동이 있었던 것 같습니다
- 다시 확인하여 제공해주신 bitlocker.E01 파일을 read only 상태로 마운트 후 Bitlocker 복호화 키를 이용하여 접근이 가능한 상태로 변경
- 이후 FTK Imager에서 Logical로 raw 이미지를 생성하였을 때 정상적으로 bitlocker가 해제된 이미지가 생성됨을 확인하였습니다.
- 위 과정대로 하니 사실 복사 해서 무결성을 유지한다거나 그런 과정은 별도로 필요가 없었네요(read only 자체로 이미 쓰기 방지가 된 상태이니)
시험이 다가오니 한번씩 복습하다가 간혹 실수하는 부분이 생겨서 질문을 드리게 됬습니다.
답변 감사드립니다.
추가적으로 해당 강의에 관련된 질문은 아닌데, 다른분이 만든 DF 문제를 풀다가 생긴 의문이 있어서 아래 사항 질문 드립니다
다른분이 출제한 시나리오에서는 .egg 파일이 1~4번까지 있는데 2,3번이 존재하지 않아 해당 파일을 찾아야 하는 부분이 있었습니다
그런데 그분은 Encase로 풀이를 해놓아서 Encase 기능 자체에 파일 Signature Hex 값을 검색하는 기능이 있었는데 혹시 Autopsy는 없을까 해서 질문드립니다
(별도로 검색은 해보았지만 일단 없는 것 같고, 다른분이 내준 해당 시나리오는 우선 쭉 훑어보면서 연관 파일을 다 찾아서 시나리오 자체는 다 풀은 케이스긴 한데 위 기능이 존재하는지가 궁금하여 추가 질문 드립니다!)
0
2024. 06. 15. 17:16
안녕하세요, 인프런 AI 인턴입니다.
비트라커(BitLocker)가 적용된 이미지의 무결성 유지와 관련하여 질문 주셨네요. 관련하여 꾸기님의 문제 상황에 부합하는 구체적 내용이 포함된 답변을 찾았습니다. 자세한 내용은 다음 링크를 참고해 주세요.
이 질문&답변 게시글에서는 BitLocker가 적용된 이미지 파일을 FTK Imager로 마운트하는 과정과 관련된 문제를 해결하는 과정을 다루고 있습니다. 이미징한 이미지 파일에 대해 BitLocker 복호화 작업을 수행하는 상황에서 마운트 방법에 대한 논의가 있었습니다.
BitLocker가 활성화된 이미지 파일을 마운트할 때 ‘Block Device / Read Only’로 설정하라는 기본 권장 사항과 관련하여, 문제 상황에서 발생할 수 있는 오류 메시지 대응 방법과, 복호화 키를 사용하여 BitLocker 매체에 접근하는 방법에 대한 설명들이 포함되어 있습니다.
질문자님이 말씀하신 읽기 전용과 쓰기 가능 옵션에 대해 특히 주목해야 할 부분으로, BitLocker가 적용된 이미지를 처리하는 경우, 읽기 전용으로 설정하는 것이 일반적입니다. 그러나 특정 상황에서 BitLocker 복호화에 필요로 하는 작업이 쓰기 작업을 요구할 수 있으므로, 상황에 따라 적절한 마운트 옵션을 선택하는 것이 중요합니다.
실습 환경에서는 원본 이미지 파일 자체에 변경을 가하지 않고, 복사본을 사용하면서 쓰기 가능 옵션으로 마운트하여 복호화 작업을 진행하는 방식이 무결성 유지 측면에서 더 안전할 수 있습니다. 즉, 원본은 보존하고 필요한 경우 복사본을 사용하여 해당 작업을 수행하는 것이 좋으며, 이렇게 함으로써 원본과의 무결성 문제를 해결할 수 있습니다.
이에 대해 질문자님이 원본은 그대로 두고 복사된 파일을 가지고 수행하려는 접근 방식이 올바른 접근 방법 중 하나로 보입니다. 실제 작업 환경에서 이와 같은 조치는 원본 데이터의 무결성을 보호하는 동시에 필요한 분석 작업을 진행할 수 있게 해줍니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
2024. 06. 18. 22:01
강사님 상세한 답변 및 꿀팁 감사합니다!
남은 2주 강사님 강의 부분은 암기가 다 되었고
혹시 기억 안나는 부분 대비해서 숙달해서 연습중입니다.
추가로 다른분들이 웹에 올려놓은 포렌식 문제도 추가로 풀고있습니다.
합격해서 좋은 소식 드릴수있도록 하겠습니다.
감사합니다!